みなさんは欧州連合(EU)の一般データ保護規則(英:General Data Protection Regulation、GDPR)をご存知でしょうか。2016年に公布され、2018年5月から施行されている個人情報保護法です。民間企業の業務に影響を与える法律であり、欧州連合の市場規模を考えれば、日本企業も無視できない条例です。以下に簡単にご説明させていただきたいと思います。
GDPR は欧州連合の全加盟国(現在27か国)に施行されています。EU法によると、規則(英語ではregulation、フランス語ではrèglement)は指令(英語もフランス語もdirective)とは違い、直接的に加盟国の法律となるため連合全領域に統一して実施されます。
GDPRの方向性は以下の三つです:
1) 個人情報データの保護強化
2) 個人情報データを扱う業者・組織の責任明確化
3) 個人情報データ扱いの監視機関権限強化
個人データを取り扱う企業は、GDPRで問題にならないようにするため、下の助言を遵守する必要があります。
1) 目的達成のためだけのデータしか収集しないこと
2) 透明性を保つこと
3) 個人情報主体の権利行使を確保すること
4) データの保存期間を定めること
5) リスクを認識し、データの保安に努めること
6) GDPRへの対応を継続的なプロセスにすること
日本企業も、EU諸国から個人データが含まれるデータを受け取る場合は、注意が必要です。もし違反すると、年間売り上げの4%、あるいは2000万ユーロ(どちらか高いほう)の罰金を課せられるとなります。また、日本の個人情報保護法などとの違う点はいくつかありますが主要点を下記に記します:
1) GDPRでは、クッキーやIPアドレスが個人情報であることが明記されていること。
2) GDPRでは、開示義務が広い(ユーザーの権利、保存期間など)こと。
3) GDPRでは、個人情報主体はいつでも同意を撤回できるように、撤回方法は容易でなければならないこと。いわゆる「忘れられる権利」があり、違反がなくても削除できること。
また、日本では個人情報保護の適切な措置をとる会社にプライバシーマークがありますが(フランシールも取得していますが)、ヨーロッパでは同様のしくみは特になく、全世界共通のISO27701がそれに相当します。(ノブル)
コメントを残す