情報セキュリティマネジメント試験 科目A 関連法規キーワード解説
GDPR(General Data Protection Regulation:EU一般データ保護規則)とは、EU(欧州連合)域内の個人データの保護を定めた規則です。個人データの取扱いに厳格なルールを課し、違反には極めて高額な制裁金を科すことで知られています。
重要なのは、EU域外の企業であっても、EU居住者の個人データを扱う場合には適用される(域外適用)点です。日本企業もEU向けにサービスを提供すれば対象となり得るため、無関係ではありません。
| 特徴 | 内容 |
|---|---|
| 域外適用 | EU域外の企業でも、EU居住者のデータを扱えば適用される。 |
| データ越境移転の制限 | EU域外への個人データ移転は、十分な保護がある場合に限られる。 |
| 高額な制裁金 | 違反すると、全世界年間売上高の一定割合または巨額の制裁金が科され得る。 |
| 本人の権利強化 | 消去権(忘れられる権利)、データポータビリティ権などを保障。 |
| 漏えい時の報告 | 原則として短時間(72時間以内)での監督機関への通知が必要。 |
GDPR違反として、大手IT企業に対して巨額の制裁金が科された事例が複数報じられています。同意取得の不備やデータの不適切な取扱いが問われており、個人データ保護を軽視できないことを世界の企業に示しました。