本文へジャンプします。

TOP

用語集

GDPRとは

2022年4月27日


GDPRとは

GDPRとは

EU(欧州連合)とは、ヨーロッパを中心とした複数の加盟国で構成される連合です。当然ですが国が異なれば、個人情報保護やプライバシーに対する考え方や法律も異なります。そこでEUでは、加盟国間での個人情報保護の共通化を目的として、1995年に「EUデータ保護指令」を制定しました。このEUデータ保護指令に代わる新しい法令がGDPRで、2016年4月に制定、2018年5月に施行されました。GDPRは個人情報の保護について、従来のEUデータ保護指令に比べて、より厳格に規程されています。

GDPRの主な内容を挙げると、以下のようになります。

  • EU域内の個人情報を収集・保存・利用する際の規制強化
  • 個人情報の利用目的についての適正な説明や同意の取得
  • ユーザーが自身の個人データを閲覧・削除する権利を持つ
  • 個人情報のEEA(欧州経済領域)域外への移転について原則禁止
  • 法令違反を行った場合は、罰則が課せられる

原則としてGDPRは、「個人データを収集する管理者」や「個人データを管理者に代わって処理する処理者」がEU域内に拠点を置く場合に限って適用されます。そのため、EU域外で活動する企業には、直接関係のない法令のように思えるかもしれません。しかし、活動拠点がEU域外であっても、EU域内の個人に対して商品やサービスを提供する場合は、GDPRの対象となる点に注意が必要です。例えば、日本国内を主な活動拠点とする日本企業であっても、以下のような場合はGDPRの対象となります。

  • EU域内に子会社や支店、営業所を持つ企業
  • 日本からEUに商品やサービスを提供している企業
  • EUから個人データの処理について委託を受けている企業

GDPRでは個人データを「識別された自然人又は識別可能な自然人(「データ主体」)に関する情報」と位置づけています。ここで言う「識別可能な自然人」とは、GDPRの「第1章 第4条 定義」において、以下のように定められています。

識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

出典:「一般データ保護規則(GDPR)の条文」(個人情報保護委員会ウェブサイト)

個人データの具体的な例を挙げると、氏名、住所、メールアドレス、クレジットカード番号、オンライン識別子(IPアドレス・Cookie)などが該当します。ここで注意しなければならないのは、個人情報として扱われるデータの種類が、日本とは異なる部分です。例えば日本の場合、オンライン識別子(IPアドレスやCookie)などは、それ単体では個人情報としては扱われませんが、GDPRでは個人情報保護の対象となってしまいます。そのためGoogle Analyticsのようなアクセス解析ツールを利用して、EU域内の個人のCookieを収集しているだけでも、GDPRが適用されてしまう恐れがあります。

GDPRに対応するためには

GDPRに対応するためには、定められている規則に沿って対策を実施する必要があります。例えばGDPRの「第4章 第2節 第32条 取扱い安全性」では、以下のように個人データの暗号化やセキュリティ対策、インシデント対応などが求められています。

1. 最新技術、実装費用、取扱いの性質、範囲、過程及び目的並びに自然人の権利及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者及び処理者は、リスクに適切に対応する一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な技術上及び組織上の措置をしかるべく実装する。

  • (a)個人データの仮名化又は暗号化
  • (b) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力
  • (c) 物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧する能力
  • (d) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順

出典:「一般データ保護規則(GDPR)の条文」(個人情報保護委員会ウェブサイト)

規則を守らずにGDPRに違反したと認定されると、最大で2,000万ユーロまたは該当企業における全世界年間売上の4%のいずれか高い方が制裁金として課されると定められています。過去にはGoogleが5,000万ユーロ(約63億円)という高額の罰金を科された事例もあることから、万が一GDPR違反と認定されてしまうと、企業経営に大きな影響が出ることは避けられないでしょう。ここではGoogleという大企業の例を取り上げましたが、企業やビジネスの規模に関わらず、GDPR違反を起こさないように取り組んでいくことが重要です。

ニフクラでのGDPRへの対応

ニフクラでは、お客様が管理者または処理者としてEU域内の個人データを取り扱うケースをサポートできるよう、GDPRに準拠したサービスを提供しています。詳細については、「ニフクラのGDPR対応につきまして」や「セキュリティホワイトペーパー」をご確認ください。

  • このエントリーをはてなブックマークに追加