POINTGDPRとは
GDPRとは、欧州経済領域(EEA)内で個人データを収集・処理する事業者に対して、データ保護についての義務を定めた法令です。
General Data Protection Regulationの略称で、日本語では「EU一般データ保護則」と訳されます。2016年の4月に制定され、2018年5月25日に施行されました。
じーでぃーぴーあーる
GDPRとは、欧州経済領域(EEA)内で個人データを収集・処理する事業者に対して、データ保護についての義務を定めた法令のこと。
GDPRとは、欧州経済領域(EEA)内で個人データを収集・処理する事業者に対して、データ保護についての義務を定めた法令です。
General Data Protection Regulationの略称で、日本語では「EU一般データ保護則」と訳されます。2016年の4月に制定され、2018年5月25日に施行されました。
急速なIT技術の発達とグローバリゼーションの進展が進む現在、多くの企業が顧客データや行動履歴を多角的に分析し、新たな商品開発とマーケティングに生かそうとしています。
このような状況で、個人を特定できるデータの取り扱いは特に重要視され、かねてより個人情報保護に関して意識が高かったEU域内の国々でGDPRが制定されました。
GDPRの保護対象となる個人データの一部をご紹介します。
・氏名
・識別番号
・所在地データ
・メールアドレス
・オンライン識別子
・クレジットカード情報
・パスポート情報
このような情報の他に、複数の要素を参照することによって直接的にまたは間接的に識別され得る情報なども保護対象となります。
GDPRは、EEA(欧州経済領域)内の個人に対して商品やサービスを提供して個人データの処理や管理を行う事業者に対しての義務であるため、EEA内に拠点がなくとも適応がなされます。
そのため、日本に本社があるWebサイトでEEA所持者に商品やサービスを販売する企業や、EEAの企業から個人データ処理の委託を受けている企業に対してもGDPRは適応されます。GDPRに違反しないためには、パスワード管理時の暗号化やアクセス管理の徹底を行うことが重要です。
違反して制裁金を負わないことも大切ですが、企業としての信頼を失わないためにも、個人データの保護対策をきちんと行うことが重要です。
日本を拠点とする企業であっても、EEA内の個人や企業に対して商品やサービスを提供する場合ではGDPRの適応範囲となります。
GDPRにおいてDPO(データ保護責任者)の設置は義務付けられてはいませんが、複雑なデータ管理を行い、スムーズな業務を行うためにも明確な責任者がいた方が良いです。
GDPRに違反した場合、その程度によって2パターンの上限金額に基づいた制裁金が課せられます。
軽度の違反の場合、1000万ユーロ(約13億円)、または企業の場合には前会計年度の全世界年間売上2%のいずれか高い方の制裁金が課せられ、権利侵害などの重度の違反の場合には2000万ユーロ(約26億円)、または、企業の場合には前会計年度の全界年間売上高4%のいずれか高い方の制裁金が課せられます。
大きな企業であると売上に応じて制裁金が課せられるため、過去にはフランスのデータ保護機関に5千万ユーロ(約62億円)の制裁金が課せられたこともあります。
GDPRが施行される以前から、EUでは別のデータの保護に関する法令「Directive 95/46/EC」が定められていました。しかし、Directive95では、個人データの規制がEUの各加盟国に委ねられおり、国内外の企業同士でビジネスをする際に障害となることがよくありました。
そのため、よりシンプルかつ国内外で統一された法令が必要となり、GDPRが新たに制定されたのです。