GDPRとは何ですか?

回答

GDPR(General Data Protection Regulation)とは、簡単に言えば「個人情報保護法のEU版」ということができます。

EUでは、「個人情報の所有権は本人にある」という考え方を元に、日本の個人情報保護法よりも厳しく企業を規制しています。

最近このGDPRが話題に上がっているのは、2016年に可決した本規則が、2018年5月25日に発効しようとしているからです。

 

 

  • それで、誰がGDPRに関係するの?

 GDPRの対象になるのは、次の1~3のいずれかに当てはまる場合です。

  1. EU域内の物理的施設を保有する企業
  2. EU域内の個人に商品やサービスを提供する企業。インターネットを用いた商品・サービスの提供など。
  3. EU域内に在住する個人の情報を収集する場合

 

ウォッチガード・テクノロジー・ジャパン株式会社の調査によると、37%の組織がGDPRの対象かどうか把握しておらず、28%の組織がGDPRの対象ではないと認識しています。

 

  • GDPRに違反するとどうなるの?

 GDPRに違反した場合、最大で全世界の売上の4%に該当する金額か、2000万ユーロ(=24億円!)の罰金が課せられます。

 

そもそもどうやって違約金を徴収しに来るんでしょうね?

 

  • GDPRの対象企業は何をしないといけないの?

GDPR対象企業は下に書いたような義務が発生します。

大変ですね(^_^;)

1.権利侵害時の公開義務

個人情報の侵害が発生した場合、72時間以内に監督当局・情報主体に報告する。

2.域外へのデータ移転制限

十分性認定を受けていない第三国への個人データ移転を禁止している。移転に際しては一定の対応が必要となる。

3.個人の権利保護強化

個人情報の収集、利用に際しての、情報主体(個人)による明確な同意取得が必要。「削除権」なども明記されている。

4.透明性のある個人データの取り扱い

個人データは、適法、公正かつ透明性のある手段で取り扱うことを明文化する必要がある。

5.安全管理措置

個人データに対する、技術的、組織的な対策により保護する必要がある。委託先となるデータ処理者にも適用される。

6.データ保護影響評価(DPIAs)の実施

新技術の利用によって個人の権利に対するリスクが高い場合、データ保護影響評価を実施する。

7.データ保護責任者(DPO)の設置

データ保護に関する知識、専門性を有するDPOを任命し、当局に通知する。

8.高額な制裁金

重大な違反を犯した場合、全世界の年間売上の4%の制裁金が科される。

(引用元:PWC

 

  • どうやって対応したらいいの?

コンサルティングファームや法律事務所、ITベンダーなどに依頼をするのが一般的なようです。

ただ、こういうサービスってスモールビジネスにとって高額ですよね(^_^;)

自前で記録を取る以外にないのでしょうか?