GDPR

EU 一般データ保護規則 (GDPR) はデータ保護に関する規定であり、2018 年に施行されました。これにより、全 EU 市民の個人情報を保護する一連の指針と規制当局が作られたのです。GDPR は、EU 域内に拠点を構える組織だけではなく、EU 居住者および欧州経済領域 (EEA) 自由貿易地域内に居住する人のデータを管理するあらゆる組織に適用されます。

GDPR はデータ当事者の主な分類として「データ主体」「管理者」「プロセッサー」の 3 つを定めています(第 28 条の A)。

「データ主体」とは、データを収集される人物をいいます。「管理者」とは、データ主体の個人情報を処理する目的および方法を決定する組織をいいます。「プロセッサー」とは、管理者の代理として個人情報を処理する組織をいいます。

GDPR では、管理者とプロセッサーが米国をはじめ世界中のどこに拠点を構えているかは問題ではありません。これは従来の EU 規則から大きく変わった点です。

遵守しない場合の罰金も変更され、従来よりも大幅に高くなりました。たとえば、データ保護監督当局により、年間総売上高の 4%、または 2,000 万ユーロのいずれか高い方を上限として罰金が課せられる可能性があります。

GDPR の制定を推進した主な要因は、EU の目標であるデジタル単一市場の構築です。以下の原則が GDPR の三大要件です。

透明性

データ主体は誰もが個人情報の処理とその目的について通知を受ける権利を有します。また、明確な同意を与える必要があります。(第 7 条、10 条、11 条、および 12 条)。ほとんどのビジネスが、GDPR によって大きな転換を迫られます。データ処理の考え方をオプトアウトからオプトインに変える必要があります。

比例性

GDPR では、あらゆる個人情報処理のレベルが、その収集の目的と比例している必要があります。つまり、収集するデータはできる限り少なく、顧客に対応するために必要な最低限の期間以上は保持しないということです。

保持するデータは正確かつ最新のものでなければなりません。また機密性と完全性を保護しなければなりません。

正当な目的

GDPR では、個人情報の処理が認められる特定の条件を定義しています (第 6 条)。個人情報の処理が認められるのは、以下において必要とされる場合です。

• データ主体が要求した製品やサービスを提供するため
• 法律的義務を遵守するため
• データ主体、または他者の重要な利益を保護するため
• 公共の利益を目的として、または与えられた職務権限の下で業務を行うため
• その他正当な利益を追及するため (データ主体、特に子供の利益または基本権および自由と衝突する場合を除く)

GDPR の中心では、以下のようなプライバシー要件と執行力が強化されています。

• 消去される権利 (当初「忘れられる権利」と呼ばれていました)。データを保持する正当な理由がなく、データ主体が自分のデータの一部または全部を消去したい場合、それに従わなければなりません。(第 17 条)。クラウドとメールサービスのプロバイダーには、この規則の遵守が困難な場合があります。プロバイダーは多くの場合データをアベイラビリティゾーン、バックアップ、アーカイブに分割するためです。
• 個人情報は単に「自然人」を特定するデータだけに限られません。GDPR ではメタデータも対象です。これには IP アドレス、SIM カードの ID、携帯電話番号、生体データ、さらには保存された Web サイトの Cookie も含まれます。また、GDPR は遡及的であり、GDPR 施行前に収集されたデータにも適用されます。
• データポータビリティ (第 20 条)。自分のデータをあるサービスから別のサービスに移行して、そのデータが変更されず、保護され、公開されない権利が認められています。
• 要求があれば、データが処理の対象となる場合、データの管理者はデータ主体に対して通知しなければなりません (第 15 条)。
• 保護データのガバナンスが強化されています。これには同意の条件、処理の記録、侵害の通知に関する強化された仕様が含まれます (第 7 条、30 条、33～34 条)。
• EU 市民の個人情報を処理または保存する場合は、データ保護責任者 (DPO) が必要です (第 35～37 条)。GDPR は DPO の役割および詳細について明示しています。さらに、データの管理者とデータのプロセッサーの拠点が EU 域外の場合、データ主体の住む EU 加盟国に窓口を設置する必要があります。
• 侵害検知および通知の厳しい要件 (侵害に気づいてから遅くとも 72 時間以内) を満たす必要があります。

データ保護バイデザイン、バイデフォルト、および処理のセキュリティ

GDPR の主な 3 つの指令はデータ保護バイデザイン, データ保護バイデフォルト,および処理のセキュリティです。

データ保護バイデザインは、GDPR に準拠するためにデータの管理者がとるべき手段と保護策を表しています。これには技術的および組織的な手段が含まれます。

同様に、データ保護バイデフォルトは、合意されたサービスを提供するために必要な個人情報だけしか収集、処理、保存してはならないことを表しています。(第 25 条および 32 条)。

処理のセキュリティは、適切な技術的および組織的手段を用いて、開示のリスクに見合ったセキュリティのレベルを保証することを規定しています。これらの指令に従わない場合、GDPR の厳しい罰則が科される可能性があります。

顧客データだけにあらず

三大要件である透明性、正当な目的、比例性が適用されるのは顧客データだけではありません。従業員データにも適用されます。

多くの組織が、マルウェアの阻止、知的財産流出の防止、他の従業員の権利の保護をはじめとする情報セキュリティの手段として、従業員によるインターネット使用データを収集して処理しています。ここではバランスが重要になります。組織のセキュリティ要件と、データ保護に対する従業員の権利を均衡させる必要があるのです。

データを知る

GDPR 規則では、収集、処理、保存しているデータの種類を理解していなければなりません。たとえば、特別な除外事項が適用されない限りにおいて、人種、民族的起源、政治的意見、宗教的または哲学的信念など個人を特定する個人情報については処理しないよう GDPR は明確に示しています (第 9 条)。

データ収集の正当な理由があることを証明できる唯一の方法は、データ自体を十分に理解することです。

GDPR は、拠点がどこにあるかにかかわらず、世界中数多くの組織に影響を及ぼします。また、新しい規則に従うことは簡単なことではありません。

GDPR に対応するための簡単なチェックリストを紹介します。

1. データ保護指令を理解する。これには顧客と従業員どちらのデータも含まれます。
2. データ保護影響評価 (DPIA) を実施する (第 35 条)。DPIA では EU 市民の保護されているデータへのあらゆる接点を確認します。これはデータの処理や保存からは独立しています。DPIA の出力は詳細なリスクアセスメントである必要があります。
3. 消去の権利、データポータビリティ、そして侵害検知および通知に対処する。これには企業の強力な技術的および組織的な制御、手続き、ガバナンスが求められます。
4. 4従業員数が 250 名を超える場合、たとえ米国に拠点を構えていたとしても、DPO を置くことが必要になる場合があります。