【読書】欧州GDPR全解明

はじめに

　GDPRをご存知でしょうか？　今年（2018年）５月にEUで施行された「EU一般データ保護規則」というものです。EUの法律ということであまり馴染みはないと思いますが、世界展開している日本企業にとってはインパクトがある出来事であるようです。
　たまたま仕事でGDPRを知る機会があり、本書を見つけて少し勉強してみたいと思いました。

GDPRとは

　一口では説明できないものですが、本書を読んだ範囲で重要なポイントは下記のようにものだと思います。
● GDPRは個人のデータにまつわる広範囲な法律であり、きめ細かな対応をしないと容易に違反となる。
● 違反時の制裁金が大きく、違反内容が重大な場合は、２０００万ユーロまたは企業の前年度世界売上の４％のいづれか高い金額になる。
● 企業はGDPRを遵守していることを証明できなければならない。証明できなければ違反となる。

守るべき内容は大きく６つに大別されます。
● 適法・公正・透明
　　個人データの利用目的に対する明確な同意が必要。
　　同意はいつでも容易に撤回できること。
● 目的の限定
　　同意された目的以外の用途に用いないこと。
● データの最小化
　　目的の達成に必要最小限のデータであること。
● 正確性
　　正確・最新のデータに保つこと。
● 保存期間の限定
　　必要な期間を超えて保持しないこと。
● 完全性・秘匿性
　　適切なセキュリティを確保すること。

　GDPRが目指しているのは、個人が個人のデータを完全にコントロールできる状態です。

IT対策

　私はiOSエンジニアを生業としているのですが、本書ではGDPRのIT対策についても述べられているので簡単にまとめてみます。

● 個人データの仮名化、暗号化。
● システムの可用性、秘匿性、完全性、復元性を確保。
● 定期的なテスト・調査・評価。
● 正確な時間でログを残しておくこと。

と割と普通なことが書かれています。ただし全プロセス、全システムに漏れなく適用していくことはなかなか難しいのかも知れません。

所感

本書の違反例を読んでいくと、そんなことまで・・と驚くようなものもあり、安易に考えている企業は非常に危険だと思いました。一方で「個人が個人のデータを完全にコントロールできる」というこの流れは当然であり、今後世界の潮流になって欲しいと考えます。