■EU
加盟国数も欧州経済共同体設立を定めたローマ条約発効時の6か国から、2013年7月のクロアチア加盟により28か国にまで増えている。
■そのEUにて「GDPR」という制度がスタートした
「EU一般データ保護規則(General Data Protection Regulation:GDPR)」
新しい規則が、5月25日、EUで運用が始まりました。個人情報を保護するためのこのルール、欧州で事業を行う日本企業にも適用される
新しい個人情報保護の枠組みであり、個人データ(personal data)の処理と移転に関するルールを定めた規則
■個人のデータを保護する目的で制定される
EUでは、個人情報保護に関する法整備が進んでおり、こうした個人情報を取り囲む環境変化への対応を目的として、GDPRという新たなデータ保護の枠組みが策定されました
グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっています
消費者にデータ収集を行なっていることを知らせるだけでなく、どのようなデータを集めているのかを明示し、許可を得ることが求められている。
■様々な個人データを厳格に順守させる
個人の名前や住所などはもちろん、IPアドレスやクッキーといった、インターネットにおける情報までも網羅的に「個人データ」に含め、その処理(収集や保管)に類を見ない厳格な順守を求めている。
EU加盟28か国、約5億人の国民と居住者に関するデータを集める全ての企業に、そのデータが侵害されてから72時間以内に漏洩を報告する義務が生じる
欧州経済領域(EEA)参加国の居住者の個人データやプライバシーに関する情報を取り扱う世界中の企業や組織に対し、保護などの適切な取り組みを義務付けている
■具体的にはどのようなものが「個人情報」とされるのか?
「データ保護オフィサーの設置」「個人データの国際移転の制限」「個人データ取り扱い記録の作成と補完」「個人データ漏洩時の報告義務」など
対象となる個人データは、氏名、住所、電話番号、メールアドレスのほか、位置情報やクレジットカード番号など幅広く、注意が必要
クレジットカード情報・パスポート情報・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
■具体的にどのようなルールなのか?
フランスで日本企業の現地法人が取引先の名刺をもらい、そこに書かれたメールアドレスなどの個人データを日本の本社に送ったとします。この場合、本人の同意か、現地と本社の間でデータ移転についての特別な契約が必要
日本のように欧州委員会によって適切な個人情報保護制度を有していると認められていない国への情報移転に当たっては、企業は拘束的企業準則(Binding Corporate Rules)の策定、標準契約条項(Standard Contract Clauses)の締結など、適切な施策の下で一定の要件を満たす必要があります
日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。EUに子会社、支店、営業所、駐在員事務所を有している。日本からEUに商品やサービスを提供している。EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)
1
2