GDPR
(General Data Protection Regulation / 一般データ保護規則)
Web上の「個人にひもづく情報」も「個人データ」とみなすEUの法律
インターネット利用時の
「個人にひもづく情報」も
しっかり保護
GDPRは一言で言うと、「個人データ」の「処理」と「移転」についてのEU(欧州連合)の法律です。
EUの加盟国27か国(2022年時点)とアイスランド・リヒテンシュタイン・ノルウェーを合わせた「欧州経済領域」と呼ばれる地域(EEA, European Economic Area)において、欧州経済領域内の人の「個人データ」を、欧州経済領域から外に移転してはいけないうえに、勝手に処理してはいけない、というもので、2018年に生まれました。日本でいう「個人情報保護法」にあたるものですが、その「個人データ」の適用範囲はGDPRの方が広いことが特徴です。
「GDPR」の重要なポイントは、主に2つです。
[1]欧州経済領域にいなくても適用される場合がある
例えば企業がこの地域に立地していなくても、PCなどで遠隔にこの地域にいる人の「個人データ」を扱う場合には適用されます。
[2]「個人データ」が指すものの範囲が広い
主には、インターネット利用時の「個人にひもづく情報」も「個人データ」と捉えられます。
GDPRが目指すものは「基本的人権の保護」です。EUにおいては、個人データの処理は「EU基本権憲章」という法によって基本的人権を保護していました。しかし、技術の急速な発展とグローバル化によって新しい枠組みが必要となり、GDPRが制定されたと考えられています。
「個人データ」を守らない
企業は厳しく取り締まる
GDPRによって守るべき「個人データ」とは何でしょうか?
名前や住所・メールアドレス・クレジットカード情報など、一般的に「個人情報」として捉えられているものだけではなく、インターネットを利用する時に取得される「IPアドレス」や、Webサイトを閲覧した時の、訪問者のさまざまな利用情報を記録した「Cookie(クッキー)」、Webサイト内のどこを閲覧したかを追跡する「トラッキング」といった、個人にひもづく情報なども「個人データ」の範囲として規定されています。
対象の個人データを扱う企業は、GDPRで決められたたくさんのルールを守らなければなりません。本人が求めることにより、いつでもすべての個人データを削除できる、編集・閲覧できるようにしておくことはもちろん、個人データの利用について、どんな目的で誰に使うのか、Cookieやトラッキング情報をどんな目的でどこに保存するかも明示する必要があります。保存の際は暗号化など、適切なセキュリティ対策を行うことも求められます。
企業がGDPRを守らなかった場合は、今後の企業活動にも影響するほどの非常に高い制裁金を罰則として課せられることになります。
ポルトガルでは、とある病院において、すべての医者、関係するスタッフまでが、すべての患者の診療データにアクセスできるようになっていたことが調査により明らかになり、GDPR違反として多額の制裁金を課された実例もありました。
また、GDPRを違反している場合には、72時間以内に欧州の監督機関に報告が必要です。個人データを扱う企業には、厳しい規制がかけられているのですね。
厳しい規制によって、
個人の権利を
しっかり守って
くれているんだね。