一般データ保護規則(GDPR)とは


一般データ保護規則(GDPR)とは

一般データ保護規則(GDPR)は欧州連合(EU)議会によって2016年4月14日に採択されました。それにより、同規則が従来のデータ保護指令(Data Protection Directive 95/46/EC)に取って代わり、欧州全体の個人データ保護法令を統一的に定めることを目的としています。2018年5月25日には、EU加盟各国の個々の既存するデータ保護法例がGDPRに置き換えられ、個人データ処理のセキュリティに関し、各種の変更、法令適用およびその実効性の強化が見られることになります。これらの変更は、欧州内外の企業や公共機関に少なからず影響を与える可能性があります。

GDPRは、欧州全体のデータ保護法例を統一することにより全EU加盟国民に対するデータ保護を強化し、全EU加盟国民の個人情報保護の実効力を高め、データプライバシーに対する企業の取り組みを見直すことを、その趣旨としています。個人データがどのように管理され、処理されるべきか、そして、データ侵害に際して企業・団体がどのように対応すべきかの指針が、GDPRにより示されます。

従来の規則は個人情報のセキュリティとプライバシーに関する人権を守る上で不十分でしたが、新規則では、EUおよび加盟各国の企業・団体(データの管理者および処理者)に対する実効力が高められました。それにより、規則の遵守を怠ったり、適切な処置を講じずに管理または処理すべき個人データを危険に晒した団体への取り締まりが強化されます。そのため、欧州領域内の適用範囲を広げると同時に、域外適用も定め、罰則、データ主体(当該個人)による承諾の条件も強化されました。

企業・団体は2018年5月25日までに自社のプロセスとセキュリティ戦略を見直し、GDPRの原則に準拠していることを確認する必要があります。準拠を怠り、データセキュリティ侵害が発生した場合は厳しい制裁が課され、刑事処分に加え、前年度の世界全体での総売上の4%、あるいは2,000万ユーロのどちらか高額なほうが制裁金として課される可能性があります。

何が変わったのか?

新規則により、各種の変更と新たな法令適用が導入されました。GDPRを包括的に理解し、運用するには、法律上、技術上、そして、コンプライアンスにおける専門家との相談が推奨されます。GDPRにより導入された主な変更点は以下の通りです。

欧州領域内の適用範囲拡大(域外適用の追加)

GDPRは、EU域内に居住するデータ主体の個人データを処理するすべての会社に、その所在地にかかわらず適用されます。つまり、データの管理者および処理者による個人データの処理に対し、その管理者・処理者がEU域内の事業者であろうが、EU域外の事業者であろうが、データがEU域内で処理されるか否かにかかわらず適用されます。該当するデータ処理には、支払の発生の有無を問わず、EU加盟国民への製品やサービスの提供、EU域内での行動の監視などの活動が含まれます。EU域内に事業所を持たずにEU加盟国民に対して事業を行っている事業者は、EU域内に代表者を置く必要があります。

罰則

GDPRに違反した企業・団体は最高で、前年度の世界全体での総売上の4%か、2,000万ユーロのどちらか高いほうの罰金を課せられる可能性があります。これは、もっとも深刻なGDPR違反を犯した場合に課される最高額の制裁金です。そのような罰金が課される違反例としては、顧客の承諾なしにデータを処理したり、プライバシー保護の原理に反するような設計ミスが考えられます。制裁金は段階的なしくみで構成され、より深刻度の低い違反に対しては、総売上の4%ではなく2%の制裁金が課されます。記録を正しく保管していない場合や、データ侵害発生時に管轄行政やデータ主体(対象となる個人)への通知を怠ったり、影響評価を行わなかった場合などに、そのような制裁が課されます。

サプライチェーン

従来の規則では、データ管理者(controller)のみが個人データ保護の全責任を負い、仮にデータの一部がデータ処理者(processor)としての第三者に処理されていても関係ありませんでした。しかし、GDPRにおいては、管理者と処理者がともにGDPR要件を満たす必要があり、コンプライアンスの責任を共有する形になります。これは、すなわち『クラウド』もGDPR適用の例外ではなくなることを意味します。

承諾

GDPRは、データ処理の承諾条件をわかりやすく(平易で明快な言葉により)、アクセスしやすい形で提示することを義務付けています。承諾条件には、データ処理の目的が必ず含まれていなければなりません。さらに、データ主体(対象となる個人)が承諾を撤回することは、承諾を供与するのと同じぐらいに容易でなければなりません。

データ保護責任者(Data Protection Officer)

GDPRにおいては、すべての公共機関、ならびに、その主要事業が個人の機密データの大規模な処理、あるいは定期的かつ組織だった個人の監視を大規模に行う私企業は、データ保護コンプライアンスの管理責任を負う者として、データ保護責任者(DPO)を任用しなければなりません。DPOの役割は、コンプライアンス責任者と似ていますが、個人データの処理と保持に関して、ITプロセス、データセキュリティ(サイバー攻撃対策を含む)、事業継続に関わるその他の重要事項に精通していなければならない点が異なります。

データプライバシー影響評価(Data Privacy Impact Assessment)

個人データのアクセスや保管に新システムが使用される場合や、個人データが新規の、または予期せぬプロセスに使用される場合、あるいは、単にデータベースが単一リポジトリに統合される場合など、諸般の状況において、企業・団体はデータプライバシー影響評価(DPIA)を実施することが義務付けられます。それにより、データの取り扱い手順や処理(個人データの用途を含む)が個人データとその主体のプライバシーとセキュリティにどのような影響を及ぼすかを検証しなければなりません。

アクセス権

透明性の向上とデータ主体の権利保護の観点から、データ主体はデータ管理者に対し、その関連データの処理状況、どの範囲まで、どのような目的で処理されるのか、確認を得る権利を有します。データ管理者は、依頼があれば、個人データのコピーをデータ主体に無料で、電子フォーマットで提供できるようにしておくことが義務付けられます。

削除権(忘れられる権利)

データ主体はデータ管理者にその個人データの消去、データ流布の停止、第三者によるデータ処理の中止を要求することができます。

データの可搬性

アクセス権の延長として、データ主体はその関連データを一般的に使用されるフォーマットで受け取る権利を有します。そのフォーマットは機械で読み取れる形式でなければなりません。それにより、データ主体は自分のデータを他のデータ管理者に移転することが可能になります。

データ侵害の遅滞なき通知

GDPRは、データ管理者によるデータ侵害セキュリティ報告の必須要件を規定しています。それによると、(i)可能な限り、72時間以内に遅滞なく監査当局に通知することと、(ii)当該データ主体に不当な遅れなく通知すること(被害のリスクが低い場合は不要)が義務付けられています。データ処理者はデータ管理者に不当な遅れなく通知しなければなりません。GDPRにより、データ侵害発生時に事業者が被る法律上、財務上、あるいは風評上のリスクは極めて高まったと言えます。

設計・初期設定からデータ保護

「プライバシー バイ デザイン」は決して新しいコンセプトではありませんが、GDPRによって初めて義務付けられました。プライバシー バイ デザインでは、個人データの保護を考慮した設計が、後から検討し、追加するのではなく、システム設計の最初の段階から組み込まれている必要があります。適切で効果的な、技術的かつ組織的方策がシステム設計の一部として実装され、GDPRの要件および、その規定に則ったデータ主体の権利保護が考慮されていなければなりません。

注:ホワイトペーパー「EU 一般データ保護規則:General Data Protection Regulation」は下記のサイトからダウンロード可能です。(HyTrust for GDPR Compliance.pdf )

https://www.climb.co.jp/soft/hytrust/document/

関連トピックス