GDPR とは†
- General Data Protection Regulation
- EU一般データ保護規則
- EUにおける個人情報保護の法律。
- 個人データの処理(収集、保管、閲覧、変更、開示)と移転(EEA域外の第三者へのデータの送信・送付、域外からの閲覧)を規制する。
- 「EUデータ保護指令」に代わる法規制として施行された。
- EEA(欧州経済領域)(EU加盟国+欧州3カ国(ノルウェー、アイスランド、リヒテンシュタイン))域内31カ国に所在する(国籍・居住地を問わない)全ての個人データの保護を基本的人権として位置づける法律。
- 2016年4月に制定(採択)
- 2018年5月25日施行
個人データの範囲†
- 氏名、住所、クレジットカード情報
- インターネット上で扱われる情報も網羅的に含めている。
- IoTで収集したデータ(位置情報など)
- アイデンティティに関する要素(身体的、生理的、遺伝子的、精神的、経済的、文化的、社会的)
禁止事項†
- 個人データのEEA域外への持ち出し禁止(原則)
- 欧州委員会から適切な個人情報保護制度を有していると認められていない場合(十分性認定)
- 個人データの移転にあたり、拘束的企業準則の策定、標準契約条項の締結など、適切な施策のもとで一定の要件を満たす必要がある。
個人の権利†
- 削除権(忘れられる権利)
- データポータビリティの権利(データを移転する権利)
- 異議を述べる権利
- プロファイリングを含む自動処理に基づく決定に服さない権利
管理者の義務†
- 個人データを適法、公正かつ透明性のある手段で処理する
- データ主体へのデータ処理の目的の開示と同意を得ること
- 必要以上のデータを収集しないこと
- 処理の安全性確保
- データ侵害の場合の監督機関への通知(72時間)
- DPO(データ保護責任者)の任命。域外の管理者は代理人の任命
適用対象†
- 企業の本社が所属する国・地域は関係なく適用対象。
- 事業規模に関係なく適用対象。
日本の事業者が対応が必要になるケース†
- EUに子会社、支社、営業所を有する
- EU域内の個人にサービスを提供する
- EU域内の企業から個人データの処理を受託する
罰則規定†
- 違反時の制裁金
- 世界売上高の2%、または1000万ユーロのうち、いずれか高い方。
- 世界売上高の4%、または2000万ユーロのうち、いずれか高い方。
十分性認定†
- 十分な保護処置を講じている国として認定を受けること。
- 十分性認定を受けずにデータ移転をする場合は、域内の拠点と域外の拠点との間でSCC(標準的契約条項)を締結する必要がある。
関連用語†
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
