GDPR

GDPRとは何ですか？

この 一般データ保護規制（GDPR） は、EU および EEA 市民のプライバシーと個人データを保護するために、25 年 2018 月 XNUMX 日に欧州連合 (EU) によって制定された包括的なデータ保護法です。組織が個人データを収集、処理、保存、転送する方法に厳しい規制を課し、個人が自分の個人情報をより細かく制御できるようにし、データのプライバシーとセキュリティを強化します。

GDPR の概要

• 法律: 一般データ保護規則
• 地域: 欧州経済地域
• サインオン: 14-04-2016
• 発効日: 25-05-2018
• 業種: 企業がEU市民に製品やサービスを提供

GDPRに基づく個人データ

GDPR では、個人データとは、個人を直接的に（名前、ID）または間接的に（位置データ、オンライン識別子）識別するあらゆる情報と定義されています。一見匿名のデータであっても、他の情報と組み合わせることで再識別できる場合は、個人情報となる可能性があります。

直接識別子: 氏名、住所、電話番号、メールアドレス、識別番号（社会保障番号、パスポート番号など）。

間接識別子: 位置データ（IP アドレス、GPS 座標）、オンライン識別子（ユーザー名、Cookie）、健康データ、遺伝データ、生体認証データ（指紋、顔認識）、経済的、文化的、社会的アイデンティティ情報など。

この 一般データ保護規制（GDPR） 包括的なデータ保護フレームワークの基盤を形成するいくつかの主要コンポーネントで構成されています。これらのコンポーネントには次のものが含まれます。

• 処理の法的根拠
• データ主体の権利
• 説明責任とガバナンス
• データ保護の原則
• データセキュリティ対策
• データ侵害通知
• 国境を越えたデータ転送
• データ保護影響評価 (DPIA)
• 監督当局と執行

データ保護原則

これらの原則は GDPR の基礎を形成し、個人データの取り扱い方法を概説しています。

• 合法性、公平性、透明性： データ処理は、合法性、公平性、個人の透明性を遵守する必要があります。
• 目的の制限： 明確で合法的な意図に基づいて情報を収集する必要があります。
• データの最小化： 収集できるのは、目的に必要な最小限の個人データのみです。
• 位置精度： データの正確性は最も重要であり、該当する場合は定期的な更新が不可欠です。
• ストレージの制限： データは、処理目的に必要な期間を超えて、データ主体を識別できる形式で保持される必要はありません。
• 完全性と機密性： データを不正または違法な処理や偶発的な損失、破壊、損傷から保護するために、適切な技術的および組織的対策を実施する必要があります。
• アカウンタビリティ： 組織はすべての GDPR 原則に準拠していることを保証します。

GDPRに基づく権利

一般データ保護規則 (GDPR) は、個人にいくつかのプライバシー権を付与し、個人が自分のデータをより細かく制御できるようにします。これらの権利には次のものが含まれます。

• アクセスする権利: 個人は、自分のデータが処理されているかどうかを組織から確認することができ、処理されている場合は、そのデータとその処理に関する関連情報にアクセスできます。
• 是正する権利: 個人は、組織が保有する不正確または不完全な個人データの修正を要求することができ、その情報が最新かつ正確な状態に保たれることを保証します。
• 消去権（忘れられる権利）： 個人は、データが本来の目的に必要でなくなった場合や同意を撤回した場合など、特定の状況下でデータの削除を要求することができます。
• データポータビリティの権利: 個人は、構造化され、一般的に使用され、機械で読み取り可能な形式で、ある組織から別の組織にデータを転送するよう要求できるため、サービス プロバイダー間での移動がより容易になります。
• 処理を制限する権利: 個人は、データの正確性に異議を唱えたり、データの処理に異議を唱えるなど、特定の条件下でデータの処理を制限する権利を有します。
• 異議を唱える権利: 組織が個人の利益や権利に優先する正当な理由を証明できない限り、個人は正当な利益に基づいて、ダイレクトマーケティングや処理などの特定の目的でのデータ処理に異議を申し立てることができます。
• 自動化された意思決定およびプロファイリングに関する権利: 個人は、自動処理またはプロファイリングのみに基づく決定を回避する権利を有します。ただし、そのような決定が契約上の義務のために必要な場合や明示的な同意がある場合は例外となります。

GDPR に準拠する必要があるのは誰ですか?

一般データ保護規則 (GDPR) は、規模、場所、業種を問わず、個人データを処理する幅広い組織に適用されますが、すべての組織に適用されるわけではありません。GDPR の導入事例は、医療、金融および銀行、小売および電子商取引、テクノロジーおよびそのサービス、通信、マーケティングおよび広告、教育、政府および公共部門、製造および産業、運輸および物流など、さまざまな業界および部門にわたります。GDPR は、一般的に以下に適用されます。

• EU/EEAに設立された組織
• EU/EEA データを処理する非 EU 組織。

例外

GDPR の適用範囲には、個人または家庭の活動に関する個人データの処理など、いくつかの例外があります。ただし、これらの例外は厳密に定義されているため、具体的な状況については法律顧問に相談することをお勧めします。

規制リスク

GDPR では、違反の重大度に応じて 2 段階の罰金が定められています。

ティア1: 10万ユーロまたは前会計年度の全世界年間売上高の2%（いずれか高い方）までの罰金。

• 処理活動の適切な記録を保持しなかった場合。
• データのセキュリティを確保するための適切な技術的および組織的対策を実施しなかった場合。
• 必要な場合にデータ保護責任者を任命しない。
• データ保護影響評価を実施しなかった場合（必要な場合）。
• データ侵害について監督当局またはデータ主体に通知しなかった場合。

ティア 2: より重大な違反に対しては、最大 20 万ユーロ、または前会計年度の全世界の年間収益の 4% (いずれか大きい方) の罰金が科せられます。これには以下が含まれます。

• データ処理の基本原則に違反する行為としては、処理の法的根拠の欠如、同意の取得の失敗、指定された目的を超えたデータ処理などが挙げられます。
• 適切な保護措置や同意なしに機密性の高い個人データを処理すること。
• アクセス、訂正、消去、データの移植性など、データ主体の権利要求に従わない場合。
• 適切な保護措置や法的根拠なしに、個人データを第三国または国際機関に転送すること。
• データ処理に対する有効な同意を得るための条件に違反する。
• 監督当局による命令や制裁を無視すること。

GDPRのコンプライアンス機関:

一般データ保護規則 (GDPR) の遵守権限は、主に各欧州連合 (EU) または欧州経済領域 (EEA) 加盟国の監督当局にあります。監督当局の例は次のとおりです。

• 情報コミッショナーオフィス (ICO) – 英国
• フランスデータ保護機関（CNIL）
• アイルランドのデータ保護委員会（DPC）
• オランダの Autoriteit Persoonsgegevens (AP)
• ドイツ連邦データ保護・情報自由委員会（BfDI）

さらに、欧州データ保護委員会 (EDPB) は、EU/EEA 全体で法律の一貫した適用を確保します。EDPB は、ガイダンスを提供し、意見や勧告を発行し、監督当局間の紛争を解決します。

GDPR の罰金を回避するには?

組織は、GDPR遵守に向けて積極的な措置を講じることで、多額の罰金のリスクを最小限に抑えることができます。

• データマッピングとギャップ分析の実施
• データマスキングなどの適切な技術的およびセキュリティ対策を実施する
• データ処理に関する明示的な同意の取得
• データ主体の要求に迅速かつ効率的に対応
• 規定の期限内にデータ侵害を報告する
• データプライバシー規制に関するアドバイスを求める法律顧問

結論として、一般データ保護規則 (GDPR) のコンプライアンス権限は、各欧州連合 (EU) または欧州経済領域 (EEA) 加盟国の監督当局にあります。これらの当局は、管轄区域内で GDPR コンプライアンスを監視および施行し、個人データの保護を確保する上で重要な役割を果たします。監督当局が施行の主な責任を負いますが、組織はデータ保護基準を遵守し、罰金を回避し、利害関係者の信頼を維持するために、社内のコンプライアンスへの取り組みを優先する必要があります。

よくある質問