GDPRの概要
目次
概要
GDPR(General Data Protection Regulation:EU一般データ保護規則)は、EEA※1(以降『EU域内』と記す)の個人データ保護を目的とした管理規則です。1995年に施行された「EUデータ保護指令」(Data Protection Directive 95)に代わる法規制として2016年4月に制定、2018年5月25日に施行されました。
昨今のインターネットの普及に伴い、企業のビジネス活動において取り扱う顧客データは、その範囲やデータ量ともに拡大化しています。約20年前に施行された「EUデータ保護指令」にて示される範囲や対象だけでは、個人データを十分に保護することが困難になってきた状況もあり、新たな個人データ保護規則として施行されるのがこのGDPRです。
GDPRの施行後には、個人データを収集、処理を行う事業者に対して多くの義務が課されることになります。また、個人データの収集処理に関する事業者の説明責任も明確に要求されており、事業者はGDPRを遵守した運用が求められます。EU域内の個人データを保護するための規則ではありますが、EU域内居住者の個人データを取り扱う企業であれば業態問わずこの規則を遵守する必要があります。
※1:EEA(欧州経済領域)…EU加盟国 27か国 + 3か国(ノルウェー、アイルランド、リヒテンシュタイン)が加盟する、欧州における共同市場およびその枠組み。
個人データの取扱いに関する原則
個人データを処理するにあたり、管理者は下記の原則を順守する義務を負っており、その遵守を証明できなければなりません。
(GDPR第5条第1項)
適法性、公正性および透明性の原則
個人データは、データ主体に関し、適法、公平かつ透明性のある手段で取り扱われなければならない。
目的の限定の原則
個人データは、特定された、明確かつ正当な目的のために収集されなければならず、目的と相容れない方法で取り扱いをしてはいけない。
個人データの最小化の原則
個人データは、取り扱われる目的に適切で、関連性があり、必要な範囲に限られていなければならない。
正確性の原則
個人データは、必要な場合に最新に保たなければならない。
保存の制限の原則
個人データは、取り扱われる目的に必要な期間を超えない範囲で、データ主体の識別が可能な状態で保存されるものである。
公共の利益における保管目的、科学的若しくは歴史的研究の目的又は統計目的のために限り、データ主体の権利と自由を保護するための本規則によって求められる適切な技術的及び組織的対策を実施することで、より長期間保存することができる。
完全性および機密性の原則
個人データは、当該個人データの適切なセキュリティを確保する方法で取り扱われなければならない。
アカウンタビリティの原則
管理者は、上記の原則を順守する義務を負い、遵守を証明できなければならない。
GDPR違反時の制裁金
制裁金 | 違反例 |
---|---|
最大で企業の全世界売上高(年間)の2%、 または1,000万ユーロ(※)のうちいずれか高い方 |
・個人データの取扱いに関し、適切な技術的、組織的安全管理対策を実施しなかった場合 (そのような措置を取らない情報処理者に個人データの処理を委託する場合も含む) ・個人データの処理に関する記録を残すことが義務付けられているにもかかわらず、 記録を書面で保持していない場合 ・個人データの侵害(情報漏えい)が発生したにもかかわらず、監督機関に対し適時に 通知しなかった場合 ・データ保護官の選任が義務付けられているにもかかわらず、任命していない場合 |
最大で企業の全世界売上高(年間)の4%、 または2,000万ユーロ(※)のうちいずれか高い方 |
・個人データの処理に関する原則(GDPR第5条)を遵守しなかった場合 ・個人データの処理を適法に実施しなかった場合 ・同意に関する条件(GDPR第7条)を遵守しなかった場合 ・個人データの域外移転に関するルールを遵守しなかった場合 ・監督機関からの命令に従わなかった場合 |
備考
英国は2021年1月31日にEU離脱しましたが、英国の法律に沿って個人情報を取り扱う必要があります。
【参考URL】
個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール
【関連ページ】
GDPRによる影響
GDPRの要求事項
GDPRに関するQ&A