GDPR（一般データ保護規則）をすごいざっくりまとめる

遅ればせながらではあるが、以前から気になっていたGDPR（一般データ保護規則）についてすごいざっくりまとめてみた。参考にしたのはこの本（Amazonのレビューを参考に選んだ）

図解入門ビジネス 最新GDPRの仕組みと対策がよ～くわかる本

欧州GDPR全解明

超ざっくりまとめ

・日本企業の現地法人などEU国内で個人情報（従業員含む）を管理する場合や、EUにいる人から個人データを集める場合は、GDPRの対象になる。
・GDPRでは原則個人データを取得する場合には本人の同意が必要。これはCookieも含まれる。16歳未満（年齢は国により違う）の場合は親権者の同意/承認が必要。
・データ主体はデータデータポータビリティ（削除および移転）の権利も有するため、データ保有者は要請があればそれにこたえる義務がある。
・日本は国としてGDPRに対する十分性認定を取得するため、現地法である個人情報保護法をGDPRに追随させる方向で改正予定。ただ個人データの対象などで現状は違いがあるので要注意。原則EUの個人データを管理する場合は、個人情報保護委員会が提示している「補完的ルール」に従う必要がある。
・規則に違反した場合は巨額な制裁金が課せられる。また対象データが漏洩した場合は72時間以内に監督部署に報告しなければならない。

以下、文中からの抜粋メモ。

■GDPRとは？

・EC/EEA加盟国を対象とした1995年のデータ保護指令がベース
・その後世界各国の個人情報保護法などの標準となった
・一貫性のある個人データ保護の枠組みが特徴で大きな目的は以下の通り

強力な制裁、強制力を背景にして、データ保護の仕組みを作り、それを守る限りにおいては自由な域内データ移動を保障し、EU域内のデジタル経済を発展させる

・欧州でのプライバシーへの厳しさは、過去の個人情報による差別の歴史（ナチスによるユダヤ人迫害）が背景にある

■GDPRの特徴

・EU各国のデータ保護法と二重構造になっている。
（GDPRは制裁のみ（といっても巨額）だが、各国法は刑事罰含めた刑罰も存在）
・EU公用語24言語で発表されており、各言語間での微妙なニュアンスの違いもある

■GDPRの条文構造

【基本原則】
データ主体にとって透明性をもって構成かつ適法に扱われる
①適法性、公正性及び透明性
②目的の限定
③データの最小化
④正確性
⑤記録保存の制限
⑥完全性及び気密性

【データ主体の権利】
①アクセス権：自らアクセスできる権利
②消去権（忘れられる権利）：データを削除させる権利
③データポータビリティの権利：管理者から管理者に送信させる権利

【管理者の義務】
対象国の個人データを扱う管理者はGDPR規定に従う必要がある

【制裁】
管理者がGDPR規定に従わなかった場合は最大2000万ユーロ以下または全世界売上総額4%以下のいづれか高い方の制裁金

■GDPRで保護される対象

GDPRにおける個人データとは？

GDPR ４条１号
「個人データ」とは、識別された又は識別され得る個人（「データ主体」）に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。

・合理的な可能性のある全ての手段を考慮に入れて、直接または間接的に自然人が識別できる可能性があれば個人データとみなす。
→日本の個人情報保護法の個人情報よりも範囲は広く、オンライン識別子というのがCookieを意識したもの。

GDPRが適用される場合、Cookieを取得する場合は原則としてデータ主体の同意を得る必要がある

■地理的適用範囲

EU域内に拠点がある場合：無条件に適用
拠点がない：データ主体がEU域内に「所在」している場合適用
（旅行で日本にきている人の取得はGDPRは適用されないと考えられる）

■適法性の条件

１）同意
有効な同意と認められる要件
・自由に与えられれた（任意性）
※力の不均衡、条件性、包括性、不利益なものは任意性否定
・特定された（特定性）
・説明を受けた
・不明瞭でない意思表示（明確性）

有効な同意のための追加条件
・同意を証明できること
・同意を撤回できること

16歳未満の子供の個人データを扱う場合は、親権者の同意/承認が必要
EC各国で13歳まで下げることが許可されている

■特別な種類の個人データ

人種や民族など日本における要配慮個人情報だが、労働組合参加、遺伝データ、性的指向などは要配慮個人情報には含まれれていない

■データ保護バイデザイン（設計段階からプライバシー保護を組み込む）

カナダのオンタリオ州情報プライバシー局長の 「Privacy by design」

１．反応するのではなく率先して、対処法ではなく予防法的に
２．基本設計としてのプライバシー保護
３．プライバシー保護をデザインに組み込む
４．完全な機能（同時実現であって、あるかなしかではない）
５．最初から最後まで（全ライフサイクルの保護）
６．可視性と透明性（設計を公開する）
７．ユーザープライバシーを尊重する（ユーザー中心主義を守る）

■域外移転

SCC：EU域内事業者とEU域外事業間の域外移転の合意書
GDPRになってからはSDPCと呼ぶ

BCR：企業グループに属する者が遵守すべき個人データ保護方針

その国自体が十分性認定されている場合は、不要となる。

日本の場合は個人情報保護委員会が提示している「補完的ルール」に従う必要がある。

十分性認定に関する補完的ルールへの対応について｜制度案内 |プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

■個人情報保護法とGDPRの違い

EU域内で名刺交換した子会社の従業員が、名刺交換した従業者情報を日本の親会社に移転させる場合→同意が必要になる

72時間ルール
漏洩時監督機関に管理者が検知してから72時間以内に報告する必要がある