GDPRとは

GDPR(EU一般データ保護規則)は、EU及び欧州経済領域(EEA)の総意によりつくられた、データ保護に関する新たな世界基準のルールです。基本的人権である自然人の自由と権利の保護を目的とし、2018年5月25日に適用が開始されました。

GDPRの前身であるデータ保護指令は、施行からすでに20年以上が経過しています。そこで、DXやIoT、AIといった新しい課題への対応を前提にした基本的な制度として、GDPRが作成されました。

最も質の良いデータ保護法として世界的に評価されているGDPRは、近年、企業価値を測るための指針としても注目を集めています。 つまり、しっかりとしたGDPR対策は、顧客やパートナー企業からの信頼性向上にも繋がります。

GDPRの適用対象

EU一般データ保護規則という名称から、「なんだ、EUの法律か。」と思われる方が多いのですが、実は日本をはじめとする第三国も全くの例外というわけではありません。例えば、EU及びEEA域内(以下、「EU域内」とする。)に拠点を持つ企業の場合、EU域内に居住している従業員や顧客のデータを取り扱うため、日本企業であってもGDPRの適用対象となります。その他にも、下記のような場合にはGDPRに従ったデータの取り扱いをしなければなりません。

• EU域内に拠点を持つ場合
• EU域内に居住している顧客へサービスや製品の提供を行う場合
• EU域内に居住しているユーザーの行動をトラッキングする場合

ここで注意すべき点は、国籍を問わず、EU域内に短期滞在する出張者や旅行者も「EU居住者」とみなされることです。

GDPR違反と制裁

GDPRが世界的に大きな注目を集めているもう一つの理由が、巨額の制裁金です。

理屈として、データ漏洩自体に対し制裁金が課されることはありません。しかし、データ漏洩発生の背景には、企業が何らかの形でGDPRに反するデータの取り扱いをしている可能性があります。

GDPRでは、取扱い活動の記録(第30条)やデータ漏洩発生時の所轄監督当局への報告(第33条)など、企業に義務付けられている手続きの違反行為に対し、1000万ユーロ以下、あるいは全世界の年間総売上の2%以下の、どちらか高額な方を制裁金として課しています。

また、個人データの本人である自然人の権利を侵害する行為や、第三国(EU域外の国)へのデータ移転手続きに反する行為に対しては、2000万ユーロ以下、あるいは全世界の年間総売上の4%以下の、どちらか高額な方を制裁金として課しています。

GDPR違反とそれに伴うデータ漏洩により課される莫大な制裁金よりも、さらに恐れられているのは、世間からの好感度と信頼性を失うことです。

よくあるご質問と回答