サイバーセキュリティ未来考

日本企業も大きな影響を受ける「GDPR」--まずは「対象か」の確認を

吉澤亨史

2017-11-15 06:00

 本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。

「GDPR」とは?

 日本で改正個人情報保護法が施行されたように、欧州では2018年5月に「GDPR」が施行される。GDPRは「General Data Protection Regulation」の略で、「一般データ保護規則」とも呼ばれる個人情報保護の法律だ。その内容は、端的に言えば「個人データ」の「処理」と「移転」に関する法律ということになる。

 対象を、情報に紐づく個人である「データ主体」、個人データ処理の目的と手段を決定する「管理者」、管理者を代行して個人データの処理を行う「処理者」に分けている。主に「個人データ」の「処理」と「移転」について定めた法律となっている。日本から遠く離れた欧州の法律であるが、ビジネスのグローバル化やインターネットの普及により、日本でもEUの個人情報を扱う可能性があるため、対応が必要とされている。

 現在は、EU加盟国それぞれにデータ保護規則が存在しており、その内容は国によって大きく異なっている。それを2018年5月25日から、GDPRというEU標準のデータ保護規則に統一する形だ。その目的は、「個人データの保護に対する権利という基本的人権の保護」としている。

 GDPRでは、特にEU内に事業拠点がなくても適用される「域外移転」を厳しく規制していることが特徴だ。「域外」とは、欧州経済領域EEA(EU加盟国にノルウェー、アイスランド、リヒテンシュタインを含める)以外である。個人データの域外移転は原則として禁止されており、域外移転が可能なのは、EUがデータの保護措置が「十分なレベル」にあると認められる国のみとなっているが、2017年11月現在で日本はこれに含まれていない。

 域外適用には、「プライバシー・バイ・デザイン」「オプトイン原則」「個人情報漏えい時の通知義務」「データ持ち運びの権利」「忘れられる権利」「罰則の強化」といった規制がある。EU外にある企業などが、EEA内に居住している人から個人情報を収集、保管する場合などに適用される。

 特に気をつけなければならないのが、「罰則の強化」だ。以前の法律(EUデータ保護指令)よりも制裁金が高額になっている。制裁金は2種類あり、例えば、「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」は、企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方が適用される場合がある。また、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方となっている。2000万ユーロは、日本円に換算すると約26億円にもなる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]