WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： てらぽん
カテゴリー： トレンド >その他

2018年5月25日より
「GDPR＝欧州連合（EU）一般データ保護規則」の施行が開始されました。

ヨーロッパの規則だから日本は関係ない・・・と思ったら、大間違い！
多くの日本企業が適用の対象になり、
違反をすれば最高で数十億円以上の巨額の制裁金が科せられます。

今回はGDPRとは何か？
インターネットとの関係は？　について考えます。

GDPRとは？

EU加盟国に欧州3ヵ国を加えたEEA（欧州経済領域）域内31ヵ国に所在する、全ての個人データの保護に対する権利という基本的人権の保護を目的とした法律です。

具体的にはイギリスを含むEU加盟28か国およびアイスランド、ノルウェー、リヒテンシュタインに住む人々の個人データの処理と、EU圏外への移転に関するルールを定めています。

EU圏外の企業・団体でも、EU圏内在住者に対して商品またはサービスを直接提供する場合はGDPRの規制が適用され、万が一規制に違反した場合は高額な制裁金が科せられます。
そこで、EU圏内でビジネスを展開している企業にとってGDPRへの対応は必要不可欠と言われています。

GDPRの目的は何か？

大きく分けて次の3つです。

1：個人情報を保護するための法制度を近代化し、グローバリゼーションと科学技術の進展に対応した内容にすること
2：個人の権利を強化しながら管理の負担を軽減し、EU内での個人データの自由な流れを確保すること
3：個人情報保護規則を明確にし、EU全体で一貫して適用すること

インターネットとの関係は？

GDPRではCookieやオンラインのユーザー識別子（ユーザID等）のように、日本の国内法においては単独で個人情報とみなしていない情報も保護の対象としているため、企業がWebサイト上でユーザーのCookie情報を取得するだけでも、GDPRの適用対象となる可能性が考えられます。

海外向けWEBサイトのお問い合わせフォームに脆弱性が認められる場合や、直接Cookie情報を読み取れる仕組みがサイト内に存在している場合は早急に改善が必要です。

逆にGDPRの適用対象と判断しなくてもよいケースとしては、例えば日本国内向けに展開しているサービスを、日本語が理解できるEU域内居住者やEUから来た訪日観光客が利用するケースが挙げられます。

まとめ

日本企業の対策は各国と比べてみても遅れているのが現状ですが、GDPRが施行されたことで一部の著名な米国ニュースサイトが欧州で閲覧できなくなったという報道もありました。

企業として今一度、個人データ利用業務の見直しを検討する必要があると考えられます。まずはGDPRの内容を社内でしっかり確認してみるのはいかがでしょうか？