GDPR（General Data Protection Regulation）とは？

2018年5月25日に施行された一般データ保護規制（GDPR）は、EAA(*1)内居住者の個人情報を扱うあらゆる組織を対象に、その管理義務や保護義務定めた規則です。またビジネスに与える影響が大きい経営事項の1つであるとも言えます。

おそらく多くの方は、「NOTICE: Updates to Our Privacy Policy and Terms of Service」などと記載されたメールを受信されたと思います。詳細をクリックするとこのGDPRに関する内容だと思います。

グルーバル企業はもちろん、みなさんもいつ影響をうけるかわからないので、
具体的に何に気をつけなければいけないか知っておく必要があります。

目的：
EEAそれぞれにデータ保護規則が存在し、その内容は国によって大きく異なっていました。そこで、個人データの保護に対する権利のためルールを統一しました。

やってはいけないこと：
EUを含む欧州経済領域（EEA）域内で取得した個人データをEEA域外に移転することを原則禁止しています。

対象データ：
名前
Eメールアドレス
所在地
電話番号
健康情報
人口統計情報
検索パターン、履歴、購入などの行動データ
写真、電子メール、音声とビデオの録音、ブログの投稿、コメント、その他のデジタルメディアなど、ユーザーが作成したコンテンツ
IPアドレス

適用範囲：
欧州経済領域と個人データをやり取りする日本のほとんどの企業や機関・団体が適用対象となります。
公的機関・地方自治体・非営利法人なども含まれます。

注意すべき点は、EU内に事業拠点がなくても適用されることです。
クラウドなどのオンラインサービスを利用する場合、管理者がプロバイダーとの
間で書面での契約処理を締結する必要があります。

やるべきこと：
顧客から個人情報利用の許諾をきちんと得る
情報の収集目的の明確化
個人情報取得の許可を事前に得る（オプトイン）
情報漏えいが発生した場合、その旨を監督機関に対し、72時間以内に通知する

制裁金：
情報漏えいが発生した際にGDPRの定める対応を怠った企業は、「2000万ユーロ（2018年6月現在のレートで約26億円）または前会計期間における全世界の売上高の4％のうち、いずれか高い方」を罰金として課されます。