第9回 EU一般データ保護規則(GDPR)について 1
「General Data Protection Regulation( 一般 データ保護規則)」は、現在、20年間にわたり使用されている個人情報保護法の劇的な改編であり、2018年5月25日より欧州連合(EU)において適用される予定だ。
これまでの法律を急速な技術革新に合わせて最新化し、EU国間をまたいだビジネスにおける一貫した法令遵守の効率化を目指して制定されたもので、これにより管理者または処理者の間で新たな規制が多く発生することになる。
今回はその一般データ保護規則(GDPR)について2回にわたり説明していこう。
GDPRを理解するためのポイント(➊~➎)
➊ 「 個人情報」の定義
今回の法律改正で、個人情報および個人を特定することのできる関連情報のすべてが、GDPRでは「個人情報」とみなされるようになる。例示にはIP アドレス、クッキー識別子等なども含まれている(第4 条)。また、人種、政治的思想、医療等に関する情報は「特別なカテゴリの個人データ」として特別な条件を満たさない限り、取扱いが禁じられており特に配慮が必要とされる。(第9条)
➋ 忘れ去られる権利および消去する権利
データの対象者には、特定の状況に該当する場合において、その人物に関連する個人データの削除と、そのデータの頒布の中止を管理者に実行させる権利がある。(第17条)
➌ データのポータビリティに関する権利
データの対象者には、構造化された共通フォーマットにより個人データが電子的手段で処理される場合、当該対象者が別途利用可能なように電子的に構造化された共通フォーマットの形式で、処理中のデータのコピーを管理者から入手する権利がある。(第20条)
個人情報をどのように保護するか、変革期を迎える
➍ 個人データ侵害に関する通知
「個人データ侵害」に関する通知は、不当に遅れることなく直ちに監督機関に通知しなければならない(72時間以内)。また、個人データ侵害に関する通知は遅延なくデータの対象者にも行わなくてはならない。(第33条)
➎ データ保護への影響評価
処理操作がその性質、適用範囲、または目的によってデータの対象者の権利や自由に特定のリスクを与える場合、管理者またはその管理者の代わりの処理者は、個人データ保護に対して考えられる処理操作の影響評価を実施しなければならない。(第35条) そしてまた、監督機関と協議すること。(第36条)
次回では引き続きGDPRを理解するためのキーワードと、EU外諸国の場合、どのような影響を受ける可能性があるのかについてお話しよう。