GDPR

2018年5月25日に施行されたEU域内で適用される「EU一般データ保護規則」：GDPR（The EU General Data Protection Regulation）について解説します。

GDPRは、EUを含む欧州経済領域（EEA）域内で取得した個人情報の流通に、規制をかけるものです。現地の日系企業への派遣社員や現地採用者もその対象となるため、注意が必要です。もともと、GDPRは、1995年にEUで制定された、EUデータ保護指令（EU Data Protection Directive）に派生しています。情報管理者が個人データの取扱いに違反した場合、行政罰規程のもと、重い罰金が課されることもあり注意が必要です。

GDPRに基づくデータ保有者は、自身の個人情報がどのような目的で利用されているのか、安全な管理下で保管されているのかなど、情報管理者から説明を受け、承諾する権利を有しています。また、自身の情報にアクセスする権利を有しています。

なお、GDPRは、安全保障貿易、刑事訴追目的として、公的機関が個人情報にアクセスする場合は、適用外となります。

2013年には、GDPRのより具体的なガイドライン「プライバシーの保護と個人データの越境移動に関するOECDガイドライン」が公開されました。プライバシー・データ保護原則が次の項目で示されています。

１収集制限の原則：データ所有者からの承諾を事前に得ること。

２データ品質の原則：目的以外の使用は認めないこと。

３目的規定の原則：個人データ収集の目的を定めること。

４利用制限の原則：個人情報の開示・提供の制限

５セキュリティ保護の原則：紛失・改ざんなどの防止策の実施

６開放性の原則：個人情報の利用方針や情報管理者身元の開示

７個人参加の原則：データ保有者が自身のデータ開示を要求する権利

８説明責任の原則：情報管理者は、データ保有者への説明責任を果たすこと

各国での個人情報保護法の内容は大きく異なりますが、EU域内・外で適用となるGDPRは、諸外国が法整備に当たる際、お手本となる存在であるため、深い理解が求められます。

拝