EU域内の居住者の個人情報を保護するための規則「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されます。これにより、これまでEU加盟国間で微妙な差異があった個人情報保護に関するルールが統一されることになります。
このGDPR、今はまだEUのみですが、似たような取り組みはシンガポールなども検討しており、将来的には他の国もこの法に追従していくのではないかといわれています。
今後の動静によっては“個人情報取保護に関する世界標準”となる可能性もあるGDPR。
今回は、GDPRによって個人情報に関する「個人の権利」「企業の義務」がどのように変わるのかについて考えてみます。
ざっくり説明!GDRPってどんな法律?
GDRPとは、簡単に説明すると「EUの個人情報、諸々のデータを守る、データ元の権利を尊重する」ための法令のことで、EU居住者が自分の個人情報を自身で管理できるようにすることを目的としています。
GDRPの施行により、EU居住者の個人情報を取り扱う事業者に対して「個人情報を保護し、適切に取り扱う」ことや、「個人情報取得元からの要求に応じて対応する」ことなど、多くの義務が課されます。
GDPRに違反した場合「年間売上の4%または2000万ユーロのいずれか高いほう」という巨額な制裁金が課せられてしまいます。
GDPRで個人情報に関する「個人の権利」「企業の義務」はどのように変わるのか?
GDPRは、EU居住者の個人情報に関する権利を確立するために、個人情報取得者に様々な義務が課せられます。
GDPRによって得られる「個人の権利」
GDPRの施行により、個人情報の保護対象であるEU居住者には次の権利が与えられます。
同意する権利
個人は、個人情報を使用する前に同意を提示しなければならず、同意をいつでも取り消すことができる。
忘れる権利
個人は、個人情報の一部または全部の消去を要求することができる。
移動の権利
個人は、以前に個人情報取得者に提供した個人情報を使いやすいデジタル形式で受信し、そのデータを別の個人情報取得者に送信する権利がある。
コピーを求める権利
個人は、企業個人情報取得者がどのように個人情報を所有しているか確認するために、個人情報のコピーを請求することができる。
訂正の権利
個人は、個人情報取得者に対し不正確なデータの訂正を求める権利がある。
個人情報を取り扱う事業者は、これらの個人の権利について個人からの要求に応じて対応する義務が課されます。
個人情報取得者に課せられる義務
一方、GDPRの施行により、個人情報取得者には次の義務が課せられます。
目的の制限
取り扱う個人情報は「目的に対して必要なものだけ」に制限される。最初に合意をとったときの目的以外には使用してはならない。
データ最小化
取得する個人情報は「目的に必要な範囲(必要最小限のデータ)」だけにとどめる。
保存の制限
個人情報を保存する期間は「目的の必要範囲内」にする必要があり、保持期間を個人に通知しなければならない。
整合性と機密性
個人情報の取り扱いは、整合性(完全性)や機密性を保持するよう、暗号化や匿名化を施して適切に保護する必要がある。
説明責任
個人情報取得者はどのようなポリシーで、どのような方策で個人情報を保護しているかを明文化して運用し、常に説明できるようにしておく必要がある。
まとめ
2018年5月25日に施行されるGDPRは、個人情報の取り扱いについて大きな変革をもたらすとともに、今後、世界標準のルールとなる可能性もあります。
GDPRには、今のところ日本の「プライバシーマーク」のような、ルールに適合していることを証明する認定マークのようなものはありません。そのため、個人情報を取り扱う企業などでは、自ら個人情報の取り扱いに関する適切なポリシーを策定し、文書で明文化しておくことが重要になります。
GDPRはEUで施行される法令のため「関係ないのでは?」と思ってしまうかもしれませんが、EU居住者の個人情報を取り扱う場合には日本企業であろうとも、適切に対処する必要があります。
もし、万が一流出してしまった場合、報告は72時間以内と定められており、対処できなければ2,000万ユーロもの巨額の制裁金を課せられてしまいます。
そうなってしまわないよう、GDPRによって個人情報に関する「個人の権利」「企業の義務」がどのように変わるのかを理解し、事前にきちんと準備しておく必要がありそうです。
GDPRによって個人情報に関する「個人の権利」「企業の義務」がどのように変わるのかについての考察は以上です。
コメント