個人情報を守るために

出典:pakutaso.com

Facebookがユーザーのデータを不適切に取り扱っていた事件を覚えているでしょうか?

 

AIが発達し、データを利用することが人間社会をより便利にすることは明らかです。

 

しかしデータ利用の有用性を認める一方で、私たちは個人情報の扱いに関しても注意する必要があります。

1つ間違えると重大なプライバシー侵害、行く果てはディストピアかもしれません。

 

今回はEUで施行されたGDPRという規則を取り上げます。

EU?関係ないな」と思った人、本当に自分が関係ないか、勉強しておきましょう。

 

参考:EU 一般データ保護規則(GDPR)」 に関わる実務ハンドブック(入門編)

 

GDPRとは

GDPRとは、General Data Protection regulation一般データ保護規則のことです。

EUにおいて、すべての個人のデータを守るために、2018525日から施行されました。

 

ジェトロ(日本貿易振興機構)によると、

GDPR = 「個人データ」の「処理」と「移転」に関する法

と、定義づけられています。

 

基本的には個人が自分の情報を守れるようにするためのいろいろなことが定められています。

 

これまでEUではEUデータ保護指令が1995年から適用されており、各国がそれぞれに個人情報保護のための法律を持っていました。

 このEUデータ保護指令に代わってGDPRが導入されたわけです。

 

気になるのは2つです。

・何が変わったのか?
・日本の私たちに関係があるのか?

 

この2つの疑問を順番に見ていきましょう。

 

GDPRで何が変わったのか?

GDPRでは従来の法律等よりも個人情報取り扱いの決まりが厳しくなり、罰則が重いものになりました。

いくつか焦点になりやすいものを見ておきましょう。

 

1 「個人データ」の範囲拡大

  • 自然人の氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IP アドレス、クッキー識別子)
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

 

注目すべきなのはIPアドレスやCookie(クッキー)も個人データに含まれていることです。

 

2 個人データの扱いに関する同意が必要

またGDPRでは、個人データを取得、移転する場合はその目的や期間を明示し、データ主体(ユーザー)の同意をもらう必要があると定めています。

 

Cookieを使いたければ、目的等を明記した上で同意をもらわなければならなくなるのです。

 

3 必要以上の期間の個人データ保持の禁止

また同意を得た目的のために必要な期間以上に個人データを保持することは許可されていません。

いたずらに個人データを蓄積することは認められていないため、個人データを取得しようと思ったら、その期間や使用範囲を明確に定めなければならないのです。

 

4 データ保護責任者の選任

GDPRでは特定の条件を満たした組織はデータ保護責任者(DPO)を選任する必要があると定めています。大規模・継続的な個人データの取り扱いがある場合はDPOの設置は必須です。

また、条件から外れている場合も、できる限りDPOを選任することが推奨されています。

 

DPOの業務についてはGDPRに定められていますが、要するに個人データ保護に関すること全てを統括する役割を担っています。

個人データ保護に関する教育や関連機関との協働、リスクマネジメントなど、多岐にわたる仕事をこなす必要があるのです。

 

GDPRは日本の企業と関係があるのか?

2つ目の疑問は、これらの変更が日本に関係あるのか、でした。

 

答えの鍵となるのは、「GDPRの適用範囲」です。

 

EEA(欧州経済領域)のデータ主体に対して商品またはサービスを提供する場合

EEAのデータ主体の行動を監視する場合

 

つまり、EUの個人のデータを扱う場合はすべてGDPRが適用されるのです。

Webサイトやサービスで、EU在住のユーザーがいる場合は、その処理に関してGDPRが適用されることになります。

また注意すべきなのが、出張などでEUに滞在する個人のデータもGDPRの適用範囲に入ります。

 

そしてGDPRと日本の関係について、もう1つのキーワードは「EU代理人」です。

EUに拠点を持たない企業は、EU代理人を定めなければならない可能性があります。

以下のフローチャートをたどっていくことで自社がEU代理人を必要とするかがわかります。

 

 

GDPRを守って、健全なビジネスを

出典:gahag.net

ビジネスと法律は密接に関係しています。

時にはビジネスが法律を変えることもありますし、逆に法律によってやり方を変えなければならない場合もあるでしょう。

 

別に法律を端から端まできっちりと把握する必要はありませんが、自分に関係している法律のコンセプトや行動規定くらいは押さえておきたいものです。

 

ITの発達で地球が狭くなったこのグローバル社会、今回のGDPRのように海外の法律名がニュースになったら、自分にも関係している可能性は高いでしょう。

法律を守って、健全なビジネスに取り組みましょう。

 

参考:EU 一般データ保護規則(GDPR)」 に関わる実務ハンドブック(入門編)

 

 

 

おすすめの記事