マイクロソフトとベリタステクノロジーズは2017年4月、EU一般データ保護規則(General Data Protection Regulation、GDPR)への対応支援サービスを公表した。自社の製品やクラウドサービスを利用する顧客企業がGDPRに対応する際の手間を削減するのが狙いだ。米マイクロソフトで各国のプライバシー法規制への対応責任者を務めるジェフ・ブラウン氏は「GDPRの施行に向けた準備を整えた」と話す。

 2018年5月25日から施行するGDPRは、IPアドレスやcookie、Web閲覧履歴、RFIDタグといった個人を識別し得る全てのデータを処理する企業に対して、データの利用に関する厳格な同意を求めている。本人はいつでも同意を撤回できる。加えて、データへのアクセス権や拒否、修正を求める権利、「消去権(忘れられる権利)」、収集されたデータを機械によって読み取り可能な形式で受け取って、ほかのデータ管理者に移行する「データポータビリティ権」を認めている。

 EU域内に拠点がない企業でも、EU域内の個人にサービスを提供したり物品を販売したりする際に個人データを処理する場合などは適用の対象となる。違反した場合は、最高で2000万ユーロまたは前会計年度の年間売上高の4%のいずれか高い金額の制裁金が科せられるおそれがある。

 GDPRでは、個人データを処理する目的と手段を決定する「データ管理者」と、データ管理者のためにデータを扱う「データ処理者」に、それぞれ規定を設けている。例えば、個人データの漏洩などが起きた場合、データ管理者は欧州のデータ保護機関に対して72時間以内に通知することが求められる。一方、データ処理者はデータ管理者に遅滞なく通知する必要がある。