【GDPRってなに?】1番わかりやすく解説

コラム

こんにちは。

remacreライターのナガセです。
本記事では、GDPRとはなにかをわかりやすく解説していきたいと思います。

「GDPRってなんぞや、さっぱりわからん」
「なんとなく聞いたことはあるけどよくわからない」

というあなたにもわかりやすく解説していきたいと思います。

本記事の目標
①GDPRとはなにか、大枠がわかる
②GDPRのポイントが分かる

上記の通り。

そもそもGDPRってなに?

GDPRとは
「EUの個人情報保護の法律」です。

とはいえ、

個人情報の保護ってなに?
そもそも保護されてるんじゃないの?

なんてギモンに思うかもしれません。

もちろんGDPRが発令される前にも、個人データ保護指令
という形で個人データの保護は行われてきました。

ですが、クラウドサービスの利用が増えたり、
グローバル化が進んだことにより
より厳格な法律が必要となったため2018年にEUで始まったのがこの法律です。

指令といったいなにが違うの?とギモンに思うかもですが
法律になったことによって変わったのは下記の通り。

・すべての加盟国が同じルール
→今まで加盟国ごとに異なった個人情報保護の法律は廃止され
GDPRに統一されました。

・罰則の厳格化
→限られた法的執行だった指令から、罰則や規制が厳格化されました。

・個人情報保護の範囲が大きくなった

・企業は新たな説明責任

上記のように指令から法律に変わったことによって
統一のルールが作られより厳しい罰則が適用されるため
より強く個人情報が守られるようになったと言えるかと思います。

GDPRはなんではじまった?

GDPRが発令された背景にはクラウドサービスの利用の増加や
グローバル化があると解説しました。

でもどうして、グローバル化やクラウドサービスの利用増加で
個人情報を保護する法律を作る必要があったのかというところがギモンですよね。

GDPRが発令された背景には、

今以上にデジタル化が進む中で、サイバー攻撃や内部不正によって個人情報が侵されるリスクはデジタル経済の発展の妨げになりかねません。

デジタルサービスを提供する側、ユーザー側がともに
デジタル化、ネットワーク化の恩恵を受けるために作られた法律が
GDPRと言えると思います。

GDPRを理解のする上で知っておきたいポイントは?

GDPRが何かはなんとなくわかってきた。
でも具体的になにが変わったとかがイマイチわからない。

というあなたのために、GDPRってなに?というところをもうちょっと
掘り下げて解説していきたいと思います。

知っておきたいポイントは下記の通り。

①対象となるデータ
②適用対象
③義務内容
④制裁の内容

それぞれ解説していきたいと思います。

①対象となるデータ

氏名
住所
メールアドレス
IPアドレス、クッキーの情報
クレジットカード
パスポートの情報
上記のような情報の範囲が対象となります。
法人データや死者、完全に匿名化されたデータは対象外です。

②適用対象

適用対象はEU内に住んでいる個人の情報です。

また、実際にEUに住んでいなくても
・短期出張などでEU内にある日本人の個人データを日本に移転する場合
・日本からEU内に個人データを送信する場合

などについても適用対象になります。

③義務内容

義務の内容としては
「個人情報の処理」と「個人情報を移転」のおおきく2つにわかれています。

【個人情報の処理】
・処理=収集・保管・変更・開示・閲覧・削除のこと。
個人データを扱うときのほぼすべての行為に関することが対象となります。

・個人データの処理についてはその過程まで特定しなければなりません。

・個人データの収集と利用目的は明示的な同意が必要です。

・個人データの処理や保管については、安全管理措置をとる必要があります。

・個人データの処理をする際には、目的の達成に必要な期間を超えて、個人データを保持し続けてはなりません

・情報漏えいが発生した場合は、企業はその旨を監督機関に対し、72時間以内に通知しなければいけません・
また、データ主体(個人)にも通知しなければならない。

・定期的に大量の個人データを扱う組織は、データ保護責任者や欧州における代理人を任命しなければなりません。

このように個人情報の処理をする際にはデータがどのように扱われるかを明確にし、不必要にデータを保管したり、個人データ収集の意図を明確にすることが義務となっています。

【個人情報の移転】
・EEAから第三国への個人データの移転は原則禁止
・日本など、欧州委員会によって適切な個人情報保護制度があると認められていない国への情報移転については
①本人の同意を得ること
②EU内にある企業が同じ企業の中で個人データを移転する際の方針を定めた内部規定を策定すること(拘束的企業準則)
③標準契約条項を締結すること(欧州委員会が決定したデータ移転契約のひな型。個人データの移転をGDPR上適法化するためのもの)

上記いずれかの要件を満たす必要があります。

④制裁の内容


GDPRで定められた義務内容に違反した場合

①前年度の全世界売上高の4%
②2000万ユーロ(1ユーロ125円とすると25億円)

のどちらか高い方が制裁金として課される。(「全世界売上高」とはEU内の子会社がGDPRを違反した場合、グループ連結で制裁が課されることです。)

GDPRによる日本企業への影響は?

GDPRが発令されたことにより、日本企業に影響があるのは下記の通りです。

①EUに子会社、支店、営業所、駐在員事務所がある場合
②日本からEUに商品やサービスを提供している場合
③EUから個人データ処理について委託を受けている場合

上記に当てはまる場合は
社内ルールの見直しや個人情報の処理に関して安全対策をする必要がでてくるでしょう。

以上、GDPRとはなにかカンタンに解説してきました。

本記事は以上です。

永瀬 瑠香

WRITER

ディレクター/ライター

永瀬 瑠香

日進月歩が座右の銘です。

この記事を読んだ方は他にこんな記事を読んでいます

Recent Etnries

Archive