GDPR(General Data Protection Regulation:一般データ保護規則)
平成30年秋午後Ⅱ問1の設問1で出題。解答は,“GDPR”の説明が本文と設問にあって,“GDPR”を解答させるもの。設問になったので,ひとつの知識として整理しておこう。
・EU(欧州連合)の個人情報保護法
・2018年5月25日に適用開始(施行)
・個人データの処理と移転に関する法律
/対象領域
EUを含む欧州経済領域(EEA:EU加盟国28カ国+アイスランド、リヒテンシュタイン、ノルウェー)を域内とし,域内に存在する個人(短期滞在者,出張者,旅行者も含む)のデータを対象とする。
※域内の本社,支店,系列企業は当然のこと,それらが無くても域内の個人データを域外から収集するようなケースも対象とする。
/個人データ
氏名,識別番号,所在地データ,メールアドレス,オンライン識別子(IPアドレス、クッキー等)、その他身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
日本の個人情報保護法の対象となる“個人情報”よりも範囲が広い。日本では「個人を特定できる情報」だが,GDPRでは識別番号やIPアドレスなど,照合によって個人を特定する情報も含まれる。
/処理
取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、送信による開示、周知またはその他周知を可能にすること、整列または結合、制限、消去または破壊すること
適切な取り扱い方法に関しては,下記を参照。
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
/移転
域内から域外への個人データの移転を,原則禁止とする。
※本社が日本にあり,域内に支店や系列企業がある場合に,現地社員の情報を日本に送る場合も移転とする
※EUに本社や支社が無く、日本にしか展開していない企業が,域内の個人情報を収集する場合も移転とする
欧州委員会によって承認されている国か,次の条件を満たした場合などに移転が可能になる。
・十分性認定(欧州委員会によって承認されている国)
・BCR(Binding Corporate Rules:拘束的企業準則)を策定(グループ内の規定として作成)して承認を得る
・SCC(Standard Contractual Clauses:標準契約条項)を提供元と提供先で締結する
・明確な本人同意を得る
BCRの例:楽天株式会社
SCCの雛型:JETROの資料
/巨額な制裁金
違反の場合は制裁金がある。最大で,全世界売上高の4%、あるいは2000万ユーロ(1ユーロ125円換算で25億円)のどちらか高い方。
/詳細説明
とりあえず…情報処理技術者試験対策としては上記で万全です。しかし,より理解を深めるためや実務で必要なレベルの情報として参考になるサイトは次のようなものがある。
まず,理解を深めるために目を通しておいた方がいい資料で,身元が明らかで信頼のおける情報として,JETRO(日本貿易振興協会)の調査レポートがあります。詳しくてわかりやすい。
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
