「忘れられる権利」で知られるEU(欧州連合)の一般データ保護規則(GDPR)が2018年5月25日に施行される。この連載では押さえておくべきGDPRと対応策のポイントを紹介する。GDPRは173項の前文と99条の本文からなる大きな法律だが、基本的な考え方を理解すれば全体像を把握するのは難しくない。
GDPRは個人データ保護を確保しつつ、個人データが欧州経済領域(EEA)域内のみならず世界中を移動できるような枠組みを定めるEUの法律である。
GDPRは個人に関する様々なデータを企業や政府が処理する場合のルールを定めている。加えて、自分の個人データがどのように処理されるかについて、個人に最大限のコントロールを保証している。さらに、国境を越えて事業を展開する企業が円滑に活動できるようにしている。
GDPRは173項の前文と99条の本文からなる大きな法律だ。しかし、その基本思想を理解すれば、全体像を把握するのは容易になる。
以下ではまず、GDPR全体を流れる基本的な考え方を説明しよう。
適法性
GDPRはデータに関係する個人データを処理することが許されるケースを限定的に列挙している。具体的なケースとして、以下が挙げられる。
・個人の同意があった場合
・契約履行のために必要な場合
・法律に基づく義務履行のために必要な場合
個人データはむやみに処理してよいわけではない。GDPRに規定された一定の「適法根拠」がある場合に限って処理できる。これが適法性の原則だ。
GDPRの順守に向けた企業の対応は、企業が行っているそれぞれの個人データ処理がどのような適法根拠に当てはまるのかを確認するところから始まる。