【GDPR】EUのデータ規制で2000万ユーロ支払えますか?

セキュリティ

こんにちは。

今日は「GDPR EUのデータ規制でどう変わるの?」のお話です。

[st-kaiwa1]GDPRって何?[/st-kaiwa1]

[st-kaiwa2 r]EUの一般データ保護規則のことですよ[/st-kaiwa2]

はい、そんな難しい事を言われても分かりませんよね。(;´Д`)

それでは、順にご説明します。

 

[toc]

目次

GDPRの規制対象

セキュリティ

  • 名前
  • 住所
  • メールアドレス
  • IPアドレス
  • クッキー(ネット閲覧履歴)
  • スマホの位置情報
  • 顔画像
  • 指紋認証
  • 遺伝子情報

ざっと、こんなにもあります。

自社または自分はEU圏内に居住する人の個人情報なんて持って無いから大丈夫って思っていませんか?

ネットショップで海外も対象とした事業展開をされていたり、ブロガーでメールマガジンを配信していたりする場合は、気を付けなくてはいけません。

次に日本の個人情報保護法とEUのGDPRを比較してみましょう。

 

日本の個人情報保護法とEUのGDPR比較

セキュリティ

比較する対象は表にすると大きく分けて以下6項目です。

  個人情報保護法 GDPR
管理体制 安全管理の例で責任者に言及 責任者設置が大企業などの義務
権利 データ削除の権利は明文化されていない 削除の権利などのプライバシー権を規定
同意 同意の条件の詳しい規定なし 明確な同意が必要
違反の報告 当局への報告義務はあるが、時間の規定はない 72時間以内と規定
利用目的の特定 第三者から提供された情報について明確な記載なし 第三者からの取得時に決められている目的に制限
特殊扱いの個人情報 性的指向や労働組合の情報は含まず どちらもデータとして該当

このように、GDPR規制でEU圏内の企業等は、社内で安全に管理する仕組みを整え、暗号化などでセキュリティ水準を高めると同時に、情報を扱える人を限定して対応しています。

管理体制

大企業ではデータ保護オフィサー(データ保護責任者)の設置が義務付けされました。もちろん専門知識を持った人でなければ、選任できませんし、地位も完全に独立した立場で、最高位の経営責任者に直接報告ができる権限も与える必要があります。そうしなければ、データ保護に関し、不都合な人によって経営責任者にたどり着く前に握り潰されてしまう可能性がありますからね。

権利

GDPRではデータを消すよう個人から企業へ求める事ができます。これを「忘れられる権利」として定めました。例えば、ネットショップで商品を購入する際に、クレジットカードの情報を入力して、もう購入する事がないと判断したら、ネットショップの運営に個人情報を消して欲しいと求める事ができます。運営が個人情報を消すまでに原則として1ヶ月以内の対応を求められます。

この忘れられる権利は、データ媒体でなくても、紙媒体であっても適用されますし、保管場所が国内国外関わらず適用されます。

同意

GDPRにおける同意とは、ターゲティング広告配信に不可欠なクッキーの使用においても同様になります。これを簡単な言葉に直すと、「あなたが好きそうな広告を配信する為に、あなたのネットの閲覧履歴の情報を使いますよ」ということになります。

ターゲティング広告は多くのネット企業の収入源となっていて、広告効果が下がると広告主が出稿を敬遠したり、値引きを要求したりする事態も想定されます。広告収入を元に無料サービスを提供するサイトも多く、クッキー利用を拒否する人が増えれば、無料サービスモデルは転機となりますね。

違反の報告

日本の個人情報保護法とは違い「72時間以内」という制限があります。これは、企業がデータ流出を知った時点から72時間以内ということです。しかも他の事項については、自社で規定を作成したり、同意を得る為に動けますが、データ流出に関しては、社員が意図せずデータを流出させてしまうこともありますが、多くはサイバー攻撃など外部からの要因によってデータが流出してしまい、予期せぬ場合に起こり得ることです。

サイバー攻撃を受けた場合でも、データ流出を知った時点から72時間以内に報告しなければならないし、報告を怠れば約12億円の制裁金を課せられます。

 

まとめ

まとめ

GDPRによる制裁金は、規則違反の条項にもよりますが、最大で2,000万ユーロまたは年間世界売上の4%の高い方になります。2,000万ユーロって、約26億円ですからね。これは大企業だろうが、零細企業だろうが、個人ブロガーでも関係ありません。まぁEUが個人ブロガーに支払えっ!て来るのかは疑問ですが。

自社または自分がGDPRの対象になるのかどうか?位は確認しておきましょうね。

グーグルアドセンスでは、「欧州経済領域のユーザーには、パーソナイズされていない広告だけを表示する」ことが選択出来るようになりました。

<追記ここから>

日本とEUが個人データ移転を相互に認めることで合意しました。

これにより、欧州経済領域から個人データを持ち出す事が国レベルで認められることとなり、この合意が無ければ、企業レベル、個人レベルで個別に同意を取ることが必要になりますので、企業の事務負担は軽くなりますね。

<追記ここまで>

まだまだ僕も勉強中ですので、追記・補正があれば、随時更新していきます。

本日も最後までお読み頂きありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次