GDPR(EU一般データ保護規則)とは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことを指します。
GDPRでは、以下のような内容について詳細に定められています。
- 個人データの処理、移転(別のサービスでの再利用など)に関する原則
- 本人が自身の個人データに関して有する権利
- 個人データの管理者や処理者が負う義務
- 監督機関設置の規定
- 障害発生時のデータの救済と管理者および処理者への罰則
- 個人データの保護と表現の自由 など
GDPRの適用範囲は、個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかが、EU域内に拠点を置く場合が対象です。
また重要なポイントとして、EU居住者の個人データを収集・処理する組織は、EU域外に活動拠点を置いていてもGDPRの適用対象とされることが挙げられます。
インターネットが普及した現代において、ネット通販などグローバルにサービスを提供できる今、日本企業においてもGDPRの指針に基づいた企業としての対策が求められています。
日本においても改正個人情報保護法が2017年5月30日から全面施行されています。
また、2019年1月23日に個人情報保護法の対象範囲内に限り、個人データについて十分な保護水準を満たしていることを認める十分性認定を欧州委員会から受けました。
これにより、企業は個別の契約を結ぶなど煩雑な手続き不要で、EU域内から個人データを持ち出すことができるようになりました。
しかし、日本が十分性認定を受けたとしても、データに対する保護措置は変わりません。
日本の法令のみならず、GDPRを軸として企業における対応を整備していくことが依然として必要です。
まとめ
企業のグローバル化が加速的に進んでいるほか、ネット通販などを含めて国を越えた取引が多く行われる今、日本という枠の中だけで事業展開の在り方を考えるのは、とても難しい状況といえます。
長期的な企業の成長や戦略実現に向けて、個人データの取り扱いにおける取り組みの重要性は常識となりました。
EUでのGDPRの施行という動きをひとつのきっかけとして捉え、さらにもう一歩踏み込んで考える必要があるのではないでしょうか。
企業が情報の取り扱いやセキュリティについて再考することは、企業の社会的価値を高めることにも繋がると思われます。
