GDPR 【General Data Protection Regulation】 EU一般データ保護規則
概要
GDPR(General Data Protection Regulation)とは、2016年に欧州連合(EU)が定めた個人情報やパーソナルデータの保護に関する規則。1995年のEUデータ保護指令を置き換える形で施行され、域内に居住する個人に紐付いたデータを扱う企業などに課される義務などを定めている。企業などが事業のために個人に関連するデータを取得して保存、利用するには、所在地や連絡先、情報取得の目的、第三者提供の有無や範囲、保管期間などについて利用者にあらかじめ告知し、同意を得なければならないと定めている。
対象となるデータは、個人の識別・同定に用いられる個人情報(氏名や住所、電話番号など)と、Webページの閲覧記録やサービスの利用履歴といった個人の属性や活動を記録したパーソナルデータで、IPアドレスやWebブラウザのCookieなども含まれる。
これらのデータをEEA(欧州経済領域:EU加盟国とアイスランド、ノルウェー、リヒテンシュタイン)内の個人から取得する場合にGDPRが適用される。加盟国の国民だけでなく旅行や出張、居住などで滞在中の域外国民の情報も対象となる。
域内で取得したデータはEEA外への持ち出しが原則禁じられる。GDPR同等のデータ保護が可能であるとしてEUが個別に協定を結んだ国や地域の場合には、所定の手続きや一定の制約の元に移転が認められる。日本との間には2019年に相互のデータ移転を可能にする協定が発効している。
規則に違反した企業などには警告や監査、多額の罰金(売上に対する一定割合)などの処罰が行われる。EU内の企業だけでなく、インターネットを通じて域内の個人からデータを取得する全世界の企業が規制の対象となる。欧州の利用者と通信する可能性のあるネットサービスなどはGDPRへの対応が必須となる。
(2020.10.20更新)
共有ボタンをタップ