Home > 専門分野 > EU一般データ保護規制(GDPR)

EU一般データ保護規制(GDPR)

デジタル時代の新しいデータ保護規制

一般データ保護規制(GDPR)は、約20年ぶりにEUのデータ保護規制の全面的な改訂版である。1995年のデータ保護指令(95/46/EC) およびそれに続くEU加盟国の実施措置等を廃止/代替する。

GDPRはEU会員国28カ国に規制として直接適用される。また、改革パッケージの一部として、警察・刑事司法セクターの新しいデータ保護指令も含まれている。該当の規制は2016年に承認され、2018年の春から適用される予定。


GDPRはなぜ重要なのか?

欧州連合基本権憲章に個人情報の保護権等も含まれるが、GDPRは下記の新しいルールを提示する:

  • EU圏内でモノやサービスを提供しており、EU居住者の個人情報を取り扱う全ての企業は、会社の所在地に係らず、適用対象になる。日本企業もEU圏内の個人データを取り扱う場合、対象となる。
  • データに係る権利を強化し、データ監督者および処理者への追加的な義務を策定する。
  • ヨーロッパのデータ保護理事会が運営するone-stop shopや整合性メカニズムなど、EUの新しいクロス・ボーダー規制レジームを導入する。
  • データ保護条項、義務的な企業ルールを認識した上で、国際的なデータの転送に関する規制を改定するとともに、第3国へのデータ転送に新しい制限を加える。
  • 罰金の最大金額を2,000万ユーロ、もしくはグローバル年間売上高の4%のうち、いずれか高いほうにする。

GDPRの遵守

(1)合法的なプロセシングのための基盤の構築

現在および将来のレジームの下では、個人データをなぜ取扱う必要があるか、企業は明確にしなければならない:

  • 同意は任意で行われたもので、対象となるデータが特定されており、説明を受けたうえでなされたもので、不明確でないものでなければならない。また、データの特別カテゴリーに対しては、明確な同意が必要である。
  • 子供のデータに関して、親の同意書が必要な年齢は13歳~16歳などEU加盟国によって異なる。
  • “適法な利益の追求”をに基づき、データの加工を行うとしても、各個人の利益より優先されてはならない。

(2)強化された個人の権利の管理

GDPRの下で、個人は以下の新しい権利、強化された権利を持つようになり、企業は新しい要件を満たすための技術的、組織的な対応策を実施することが求められる:

  • アクセス権:個人から要請を受けてから1ヶ月以内に当事者に無料で情報を提供する。
  • データ・ポータビリティの権利: 個人が自分自身のデータを、広く利用される体系化された機械読み取りフォーマットで、アクセスできる新しい権利
  • 削除権(忘れられる権利):個人が不当な延期なく自分自身のデータの削除を要請できる強化された権利
  • 異議権:データ管理者が個人データを取扱う根拠として、適切で妥当な根拠を提示しない限り、個人は自分自身のデータの加工に異議を提示することができる。
  • プロファイリングに反対する権利:個人に重大な影響を与える自動化されたプロセシング(個人データを自動的に処理して該当個人のいろいろな側面を分析する手法)の対象にならない権利

(3)追加的な義務の遵守

GDPRの下で企業は下記のような厳格な義務事項を遵守することが求められる:

  • 計画的、デフォルト設定等で個人データの保護を実施することと、各個人のリスクに適切なレベルのセキュリティーを確保する対策を実施。
  • データ漏洩があった場合は、72時間以内に監督当局へ報告。
  • 個人にハイ・リスクを与える可能性のあるプロセシングに関してはデータ保護影響の評価を実施。
  • 経営陣への報告、GDPRの遵守をモニタリング、監督当局と協力しデータ関連問題に関しては連絡窓口を務めるデータ保護オフィサーの任命。

GDPRに向けた準備

各企業はGDPRの準備を早い段階からスタートすることが必要である。詳しくは、プロモントリーのEU GDPR:やるべきこととスケジュールに詳述。