GDPRによる影響
GDPRにおける3つの立場
GDPRでは、個人データ(※1)に関わる者として「データ主体」「管理者」「処理者」という3つの立場と、それぞれの立場における関係性
について以下のように示しています。
| 名称 | 役割 | スパイラルを利用している場合 |
|---|---|---|
| データ主体 | 個人データに関連する個人、その所有者。 | 登録フォーム等から個人データを登録するお客様(エンドユーザー) |
| 管理者 | 単独または他の主体と共同で、個人データ処理の 目的と手段を決定する個人、法人、公的機関。 |
スパイラルを利用し、個人データを収集、管理(※2)する スパイラルユーザー |
| 処理者 | 管理者を代理して個人データの処理を行う自然人または法人。 | スパイラルユーザーが個人データを管理するためのシステムを 提供することで処理を代行する当社(スパイラル株式会社) |
※1:「個人データ」とは
個人データとは、データ主体に関するあらゆる情報を意味します。データ単体では個人を識別することができなくても、複数のデータを組み合わせることで個人識別につながると考えられる場合、それらのデータも個人データとみなされます。
例)氏名、識別番号(会員番号、ID番号など)、技術的な情報(GPS情報、IPアドレス、Cookie情報、識別子など)、その他身体的、生理的、
遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
※2:スパイラルユーザー自身が処理を行う場合は管理者だけでなく処理者としての役割を担います。
影響を受ける企業
GDPRはEEA(※3)(以下「EU域内」と記す)における個人データ保護に関わる規則ですが、以下のような場合、日本国内企業であってもGDPRの適用対象になる可能性があります。
(1) EU域内に子会社、支店、営業所を有している企業
EU域内に所在地がある場合は、直接の適用対象となります。本社が日本国内にある場合でもとしてGDPR要求事項全般への対応が必要となります。
(2) 日本からEU域内に商品やサービスを提供している企業
EU域内の個人に対して商品やサービスを提供している場合、EU域内に子会社・支店・営業所がなくとも管理者としてみなされGDPR要求事項全般への対応が必要となります。
(3) EU域内から個人データの処理について委託を受けている企業
EU域内の企業から個人データの処理などを受託している場合、当該受託企業は処理者として個人データの域外移転に関してGDPRが定めるルールに準拠する必要があります。
※3:EEA(欧州経済領域)…EU加盟国 28か国 + 3か国(ノルウェー、アイルランド、リヒテンシュタイン)が加盟する、欧州における共同市場およびその枠組み。
【関連ページ】
GDPRの概要
GDPRの要求事項
GDPRに関するQ&A