そもそもGDPRとは何でしょう?
GDPRとは、General Data Protection Regulationの略で、日本語では「EU一般データ保護規則」等と訳されています。
EUで1995年から適応されているEUデータ保護指令に代わり、2018年5月25日から施行されているものです。
1995年は伝説となりつつあるWindows 95誕生の年でもあるので、EUはやはり一歩先を見ている組織ですね。
EUという言葉が頭についているのは、EUにおける、という意味付けのためで、もともとの表現は「一般的なデータ保護規則」となっています。
本記事を読まれているような情報感度の高い方だと、IPアドレスやCookieはもちろん、各SNS絡みのデータプライバシーについても相当ご存じかと思いますが、GDPRはそのあたりまで踏み込んでいる法律である点が要注意です。
GDPRで最低限押さえておかなければならない要素が2つあります。下記です。
- IPアドレスやCookieのデータも個人情報と考える。
- 個人情報を取得するためには、個々人の同意が必要である。
Cookieについて近年やたらと同意を求める通知が目立つように感じるのは、このGDPR施行が一因です。
いままで、Cookie情報は個人情報とみなされていなかったものが、GDPR施行により、個人情報とみなされるようになったのです。
そして、GDPRの法律の対象となる企業は、下記3つです。
- EU領域で本社を有する企業に加え、EUに子会社や視点、営業所を有している企業
- 他国からEU領域へ商品やサービスを提供している企業
- EUから個人情報処理について委託を受けている企業
注意しなければならないのは、私的旅行やビジネス上の出張で、数日程度EU領域に滞在した外国人のCookieもGDPRに含まれる点です。
EU領域外の企業にとっては悩みの種でしかありませんね。
GDPRに関する基本情報
EU一般データ保護規則(General Data Protection Regulation; GDPR)とは、欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している規則です。
欧州連合域外への個人情報の輸出も対象としています。
EU一般データ保護規則の第一の目的は、個人が自分の個人データをコントロールする権利を取り戻すこと、および欧州連合域内の規則を統合することによって、国際的なビジネスのための規制環境を簡潔にすることです。
この規則は2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日から適用されました。
1995年のデータ保護指令が欧州連合各国のデータ保護規則の断片化を招いたという反省を踏まえ、この規則に関して欧州連合各国政府は特別に法規制を採択する必要がない、となっています。共通規則ということですね。
ただし、EU各国が特定のデータ処理について、より限定的な国内法を制定することを妨げるものではない点にも注意が必要です。
仮名化
仮名化とは、個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理を指します。
仮名化の一例として暗号化があります。元のデータが分からないように、適切な復号鍵がなければデータ処理を元に戻すことができないようにする処理ですね。
GDPRはこの追加情報(復号鍵など)が、仮名化データと別に保管されることを求めています。
仮名化が推奨されているのは、関係するデータ主体に与えるリスクを低減し、データ管理者およびデータ処理者がデータ保護の義務を適切に果たすことが目的です。
個人データが、組織内の適切な方針および施策により、データ管理者によって仮名化された場合であっても、GDPRの管理および罰則の対象となっています。
