GDPR(General Data Protection Regulation)は、EU(欧州連合)が2018年に施行した個人情報保護法です。この法律は、EU内での個人データの収集、処理、保存に関して厳格なルールを定めており、企業や組織が個人データを取り扱う際の透明性と安全性を確保することを目的としています。主なポイントは以下の通りです。
-
個人データの定義: 個人を特定できる情報(名前、住所、メールアドレス、IPアドレスなど)が個人データとして扱われます。
-
データ主体の権利: 個人(データ主体)は、自分のデータの取り扱いについて多くの権利を有しています。これには、データのアクセス権、修正権、削除権(「忘れられる権利」)、処理制限権、データ移転権などが含まれます。
-
データ処理の正当性: データを収集、処理する際には、特定の正当な理由(同意、契約履行、法的義務、正当な利益など)が必要です。
-
企業の責任: 企業や組織はデータの保護を保証し、データ処理の法的根拠を証明する責任があります。また、データ漏洩が発生した場合には72時間以内に当局に報告する義務があります。
-
データ保護責任者 (DPO): 多くの企業には、GDPRに基づいてデータ保護責任者を指名し、データ保護活動の監督や適用を行うことが求められます。
GDPRの施行により、EU内にビジネスを展開する全ての企業がこの規則を遵守する必要があり、違反した場合には巨額の罰金が科されることがあります。
他国にも類似の個人情報保護法が存在しており、例えば日本の「個人情報の保護に関する法律(個人情報保護法)」や、カリフォルニア州の「CCPA(California Consumer Privacy Act)」なども個人データ保護を目的としています。これらの法律も、GDPRに似た原則を含みながら、地域に特有の規定を設けています。