【GDPRについて2分でわかる動画はこちら!】

GDPRとは何か?


「一般データ保護規則(GDPR:General Data Protection Regulation)」とは、1995年に適用された「EUデータ保護指令」に代わる形で、2016年4月に制定・2018年5月に施行された個人データの取得・取扱いについて定めた欧州連合(EU)の法令(ルールや規制)です。

欧州委員会は、この規則によってEU域内のすべての個人のデータ保護を強化し統一することを目的としています。また、GDPRではEU域外への個人データの移転についても定められています。


GDPRが定める新たなデータ保護体制では、EUデータ保護法の適用対象が拡大され、EU域内居住者のデータを処理するすべてのEU域外企業も適用対象となりますので、日本企業も対象となるケースがあります。GDPRでは、こうした域外企業が域内の法令を順守しやすくなるよう、EU加盟国間のデータ保護法令の調和が図られています。一方で違反については厳格な規定が設けられており、「最大で全世界売上高の4%」という高額な課徴金が課される可能性もあります。


プライバシーは、世界人権宣言をはじめ多くの国際条約や地域条約で認められている基本的人権です。人間の尊厳を守るものであり、今日では人権に関する極めて重要な関心事の一つになっています。


GDPRでは、EU市民が自身の個人データをコントロールできる状況を確保するとともに、域内の法令を統一することで国際企業の規制環境を簡素化することが主な目的となっています。2018年5月25日の施行後は、現行のEUデータ保護指令に代わってGDPRが適用されます。


既に多くの企業では、情報セキュリティやプライバシーの重要性を認識しており、個人データの管理や保管の期間を通して個人データの利用可能性や完全性、機密性を確保するためにベストプラクティスを実践しようとしています。


GDPRの要求事項を認識し、データ管理者あるいはデータ処理者である企業にどのような影響があるかを検討するためには、GDPRコンプライアンス戦略が必要となります。

こうした戦略では、通常、以下のような部門横断的なチームが編成されるほか、戦略を監督する「データ保護責任者(DPO:Data Protection Officer)」が任命される場合もあります。多くの会社では、GDPRの要求事項を順守することが、世界に通用する国際的なデータプライバシー管理を行ううえでの最低限の基準になると考えられています。


 

図)部門横断的なチーム編成とデータ保護責任者(DPO)の位置づけ

 

まとめ


いかがでしょうか。本記事では、GDPRの概要について解説しました。

GDPRは必ずしもEU域内に本社や子会社、支店や工場を置く企業だけに適用されるわけではなく、EU居住者の個人情報を扱うEU域外の企業も対象になるため、日本国内のみで商品やサービスを提供している日本の企業でさえも対象になるケースがあり注意が必要です(例:グローバル向けのインターネット通販を用いた製品の販売など)。また、違反した場合の罰則の金額が大きいため、十分に対応を検討する必要があります。

GDPRへの対応を検討する上で考慮すべき主要なポイントについては、「GDPR対応を進める上での主要な7つの検討ポイントを解説!」の記事をご覧ください。