2018年5月25日よりヨーロッパで施行された新しい個人情報保護法、GDPRの解説です。
手っ取り早く理解したい人のために、ポイントをイラスト付きで分かりやすくまとめました。
GDPRとは何ですか?
基本定義
GDPR(一般データ保護規則)とは、
新しくヨーロッパにて施行された
世界一厳しい個人情報保護法
General (一般)
Data(データ)
Protection(保護)
Regulation(規則)
=「個人データの保護と取扱に関する規則」
それは、個人データの
処理(扱い方)
および
移転(域外へ移す行為)
を規制するための法律
適用範囲
GDPRが施行される国はEEA(欧州経済領域)の各国、
GDPRの定義する「個人情報」とは
EEA域内に所在する個人に関するあらゆる情報
EEA域外の外国人の情報であっても、出張や旅行などで訪問中に域内にて取得されれば保護の対象となる
GDPRは適用範囲が広い
EEA域外の外国の法人・組織でも、EEA域内の個人情報を処理・移転するのであればGDRPの対象
つまり、世界中のあらゆる企業・組織が適用範囲となる可能性がある
個人の権利と管理者の義務
個人の権利が大きく強化された
個人情報は基本的人権のひとつという理念
自分の個人情報の削除を要求できる権利がある(忘れられる権利)
自分の個人情報を自由に他へ移すことも要求可能(データポータビリティの権利)
管理者(企業・組織)の負う義務が明確化
個人情報の管理者は以下の義務を負う
・個人データの処理は適法性・公正性・透明性に基づいて行うこと
・個人データの処理は安全性を確保して行うこと
・データ侵害発生時には監督機関にすみやかに報告すること
・データ保護責任者を任命すること、域外の企業・組織であれば域内に代理人を任命すること
個人情報の範囲
名前、住所、メールアドレス、電話番号はもちろん個人情報
クレジットカード情報も個人情報
インターネット上のクッキーも個人情報
IPアドレスなどの識別IDも個人情報
人種、病歴などのセンシティブな情報も個人情報
顔写真などの画像も個人情報
遺伝子情報も個人情報
域外移転の禁止と制裁金
EEA域外への個人情報の移転は原則禁止
EEA域外へ個人情報を移転させるには、移転先の第三国が十分性認定を得ている必要がある
十分性認定
日本を含め、カナダ、アルゼンチン、イスラエル、ニュージーランド、スイス、ウルグアイなどの国になります。
現在、日本は十分性認定を得ていないが、2018年中には認定される予定(2018年12月4日現在)
日本は2019年1月23日に十分性認定を取得しました。(2019年1月29日訂正・追記)
制裁金が超高額
最高で2000万ユーロ(約25億円)、もしくは全世界売上高の4%のどちらか高い方が制裁金として課せられる
まとめ
GDPRのポイントをまとめます。
- 出張中や旅行中の第三国人のものであってもEEA域内で取得された個人情報はすべて保護の対象
- 個人情報の定義が大きく拡大され、クッキーやIPアドレスなども個人情報に含まれる
- EEA域内に支店や拠点がある、EEA域内とモノやヒトのやり取りがあるような企業・組織は、GDPRの対象である可能性が高い
- EEA域内で取得された個人データを域外へ移転するにはその国が十分性認定受けている必要がある
- 制裁金の最高値は驚くほど高額
個人情報保護の厳格化は世界的な流れです。中国、ロシア、日本、シンガポール等、各国で規制強化が進んでいます。
(注:記事内容は筆者が個人的にネットや書籍にて調査し、理解した範囲にもとづくものです。GDPRに関する正確な判断が必要な場合は専門家へご相談ください。)
GDPRの入門におすすめの参考図書