今回のコラムでは、2018年5月25日より欧州で施行されたGDPR(EU一般データ保護規則)についてサーバ管理者やシステム管理者、システム開発者として知っておくべき事項や対策を説明します。
GDPRは、EEA加盟国(EU加盟国+アイスランド、リヒテンシュタイン、ノルウェー)の個人データ保護を目的としています。
注意すべき点は、EEA圏外の企業や団体においても、EEAの個人データを扱う場合は適用対象となります。例えば、インターネットでショッピングサイトや旅行予約サイトなどを運用している企業において対象国の個人データを扱う場合はGDPRの適用対象となります。
保護対象のデータは類似している部分があるものの、GDPRではデータの収集、活用、移転を適正に行うための要求事項が非常に多岐に渡っています。日本の個人情報保護法は2017年に改正されましたが、GDPRの厳格な要求事項は満たしていない状況です。
また特に注目すべき事項として、GDPRに違反した場合の制裁金が巨額である点が挙げられます。GDPRでは対象企業の全世界売上高(年間)の4%、または2,000万ユーロのうちいずれか高い方が制裁金として定められています。
GDPRが施行される直前に実施された各社のアンケート調査結果によると、GDPRに関する認知度の低さが目立っており、多くの企業や団体において対応が間に合っていないとの結果が出ています。このような状況から、GDPRを普及させるために、施行直後に数社を見せしめとして制裁を与えるのではないかというという根拠の無い憶測情報も出ています。ただ、FacebookやGoogleがGDPR施行の初日に提訴されており、またGDPRへの抵触を恐れて対象国向けのサービスを一時停止するWebサイトも出てきているようです。
GDPRでは以下8つのデータ主体の権利が定められています。
これらを遵守するために、例として以下のようなシステム設計や改修などの対応が必要になると考えられます。
これらの対策はごく一部であり、各企業や団体が置かれている立場や状況によって様々な対応が必要になると考えられます。
事業活動がグローバル化している昨今ではGDPRの理解が不可欠で、自組織に合った対応を計画的に進めてGDPRに遵守することが求められていると考えます。個人データを扱う企業や団体においては、これまで以上に個人データに対して配慮する必要があり、セキュリティ的な対策を含めた慎重な対応が必要とされています。
参考