2018年5月、EU圏においてGDPR(一般データ保護規則)が施行された。あらためてその内容や影響について整理したい。
本記事では、GDPRについて2回に分けて解説する。1回目は、GDPRの主旨や目的、だれが対象になるのか、どんな場合に規制に従う必要があるのか、といった点を説明したい。
GDPRは域外企業にも適用される
GDPRは、それまでEU圏で有効だったデータ保護指令に代わるものとして制定された。個人情報保護の強化を目的としているが、目指すところは個人情報の権利主体を明確にし、個人情報の流通に新しい形態を導入することだ。新しい流通形態では、ビジネスや市場とのバランスも考慮にいれるとしている。
具体的なポイントを整理すると以下のようになる。
・GDPRはEU圏すべて統一的に適用される
・個人情報を主体的に制御するのは個人の基本的な権利と明記(制御権)
・データ主体である個人はデータの管理者を切り替えることができる(ポータビリティ)
・EU圏の個人情報を圏外に持ち出すにはGDPRの規定を満たす必要がある
・高額な制裁金の条項がある
なお、GDPRでは個人情報(personal data)を「個人を特定しうるさまざまな関連情報(大意)」として定義している。
国内では、メールアドレス、氏名、生年月日以外は個人情報ではないという認識が一部では残っている。だが、グローバルにおける個人情報の定義は、位置情報、各種ログでも個人を特定できれば。個人情報となる。
血液型や乗車履歴などの情報でも他の情報と組み合わせて個人が特定できれば、個人情報としてGDPRの適用を受ける。
なお、ここでいうEU圏は、EU加盟28か国、に加えてアイスランド、リヒテンシュタイン、ノルウェーの計31か国を指す。
多額の制裁金はGAFA狙い
EU圏はGDPRを施行するにあたって、それまで各国に委ねていた個人情報の取り扱いに関する原則を一本化した。これにより、EU圏でのデータのやりとりをスムースにする狙いがある。
同時に、EU圏以外へのデータ移転(越境データ)については、移転先もGDPRと同等な保護や管理がなされていなければならないとしている。ここが、日本企業にも関係してくるところだ。
個人情報を管理する企業や組織(営利・非営利問わず)がGDPRに違反した場合、2000万ユーロか前年の売り上げ実績に対して最大4%の金額が高い方の制裁金(罰金)が科される。この金額の多さに注目が集まり、GDPR対応への関心が高まった。