GDPR

最近、『GDPR』と言う言葉を知った橋本（仮）です。
GDPRについてと、思ったことをまとめていきます。

GDPRとは？

GDPRとは！
General Data Protection Regulation　の略です。
2018年5月25日に欧州連合(EU)が施行した一般データ保護規則のことで、企業による個人データの取得・利用を規制し、個人データを欧州経済領域(EEA)から第三国に移転するために満たすべき法的要件を規定しているようです。
保護対象はEEAに所在する全ての個人です。
EEAの個人データを取り扱う方は注意が必要ですね。

日本には個人情報の保護に関する法律(個人情報保護法)がありますが、GDPRの方が厳しそうです。
例えば……

・保護対象となる個人データ
　単体では個人を識別できなくても、複数を組み合わせたりして間接的に個人を識別できると考えられる場合、そのデータも個人データとみなされるそうです。(IPアドレスやCookieなどのオンライン識別子など)

・高額な制裁金
　GDPRの制裁金が課せられた場合、最大で企業の全世界年間売上の4%または2000万ユーロ(約26億円)のいずれか高い方を支払わなければなりません。
　日本の個人情報保護法に違反し、個人情報保護委員会からの改善命令にも従わない場合、罰則規定により「6ヶ月以下の懲役または30万円以下の罰金」に処されます。

GDPRは何故生まれたのか？　　

何故GDPRは生まれたのでしょうか。
GDPRは、

・個人が自分の個人データをコントロールする権利を取り戻すこと

・国際的なビジネスのための規制環境を簡潔にすること

を目的としています。

　GDPRが施行される前、「EUデータ保護指令」が制定されていました。
　しかし、この指令が採択されたのは1955年のことでした。急速なIT技術の革新・グローバル化により個人情報を取り囲む環境は大きく変わり、この指令は時代遅れのものとなりました。
　また、この指令はEU加盟各国で個人データ保護の国内法を制定するための指針であったため、制定された国内法は国によって内容に差異がありEU全域における多国籍企業の活動が不便でした。そこでEU加盟国共通の規制を定めようという流れが強まりGDPRが生まれました。

忘れられる権利とデータポータビリティ

GDPRの目的に、
　個人が自分の個人データをコントロールする権利を取り戻すこと
がありました。
　つまりGDPRは個人情報の持ち主の権利を強めていると言えるでしょう。
　そこで2つの権利について紹介したいと思います。

・忘れられる権利
　企業が保持する個人データが必要でなくなったり、正しく無くなったりした場合、各個人はそれらの消去を企業に要求できる権利です。

・データポータビリティの権利
　企業などが収集・蓄積した個人に関するデータを本人の意思でいつでも引き出し、他のサービスへ移転することを可能にする権利です。

この2つの権利のおかげで個人は、より自分で個人情報を管理する事ができるようになったと思います。

最後に

　急速なIT技術の革新・グローバル化により、個人情報の価値や定義も変わっています。
　今後、GDPRのような規則が世界中でできていくと思います。
　個人情報や個人データをどのように管理していくか、時代に合わせて考えていくことが大切なのではないかと思いました。

2020/05/19