G検定 GDPR

株式会社リュディアです。今回は EU 一般データ保護規制、一般にEU GDPR (General Data Protection Regulation) と呼ばれる規制についてまとめます。EU の GDPR は個人情報の取り扱いに関する規則です。機械学習の分野では様々なデータを使うことが多いと思いますが、その際にしっておくべき法令と考えます。法令の専門家ではないので概要だけになりますが、素人なりにエッセンスだけまとめてみます。

以前よりEU で適用されてきたEUデータ保護指令に代わるルールとして EU GDPR が 2018年5月から適用されています。EU GDPR の特徴を一言で書くと以下の2点です。

1. IPアドレスやCookie のようなオンライン識別子も個別情報として取り扱われる

2. ユーザの個人情報を取得する場合はあらかじめユーザーに同意をとることが必要。同意をとる際には取得の目的、第三者提供の有無、保管期間などを明示する必要あり。

では少しずつ見ていきましょう。名前の通り EU GDPR は EU の個人データの取り扱いに関する規則で、規制の対象は個人データの取り扱いと移転についてです。基本的に EU 域外へのデータの移転は禁止されています。

EU GDPR と日本との関係の歴史を簡単に記載すると以下のようになります。

2016年4月 EU GDPR 制定
2018年5月 EU GDPR 施行
2019年1月 日本が十分性認定を受ける

2019年1月に日本が十分性認定を受けたことが重要です。十分性認定を受けたことで EU 域外である日本へのデータの移転は認められることになりました。しかし十分性認定を受けても手続きが簡素になるだけで、情報の取り扱いについては十分性のありなしに関わらず対応が必要なことに注意してください。

次に EU GDPR の対象となる日本企業は以下の条件に該当するものです。

- EU 域内に子会社や支店を持つ場合
- EU に対して商品やサービスを提供している場合
- EU 域内の団体から個人情報の処理について委託を受けている場合

このように見てみると、グローバル企業だけではなく意外といろいろな企業が対象になりそうですので注意が必要ですね。

またデータ主体、つまりデータの持ち主に対しデータの管理者は以下のような権利を提供する義務があります。いくつか代表的なものを記載します。

12条の透明性のある情報、通知および手続きを受ける権利

13条、14条の収集、取得の際の情報提供を受ける権利

15条のアクセス権

16条の訂正権、17条の削除権

18条の取り扱い制限権

20条のデータポータビリティー権

なかなか EU GTBR は厳しい規則であることがわかります。現状、日本の個人情報の保護に関する法律は EU GDPR に比べると緩いものですが、今後、日本の法律も同様な感じになっていくのかどうか注視が必要です。

では、ごきげんよう。