一般データ保護規則(GDPR)

GDPRとは

一般データ保護規則(GDPR)とは、データ保護指令をより厳しくしたEU市民のプライバシー法です。

1995年にデータ保護指令が制定され、その個人情報保護の整備はEUだけではなく世界各国に影響を与えました。データ保護指令では加盟国に対する要請であり、加盟国それぞれが国内法制化作業を行っていました。細かいルール作りは各国に任せていたわけです。一方で、GDPRでは加盟国に直接適用し、罰則付きで徹底的に守らせようとしました。EU域内に管理者、処理者の拠点がある場合にはGDPRが適用されます。もしくは、EUのデータ主体に対する物品やサービスの提供を行ったり、行動を監視する場合にはEU域内でなくとも適用対象となります。

加盟国は、独立した国家としての立法権、司法権、行政権を持っています。GDPRは加盟国一律に適用される規則になります。加盟国の法律は国内法という扱いになり刑罰の可能性もありますが、GDPRは制裁金という扱いになります。

十分性認定

GDPRは、米国や日本といった地域外の諸外国に対して厳しい規制をかけています。EUから見れば、諸外国である日本も基本的にはデータ保護に関して十分な体制があるとは見なされないわけです。(2019年1月23日に日本も十分性認定を受けています)この十分性認定を受けることになります。さらに、一度認定されても2年毎の定期審査を受けることになっています。

十分性認定を受けていない場合には、EU域内とEU域外の組織間で標準データ保護条項であるSCC(SDPC)や本人の明示的な同意を得ておく必要があります。

GDPRで保護される個人データ

GDPRで保護されるべきものはデータの主体も対象です。データ主体の保護に関するルールの重要な部分をざっくり3つ示しましょう。

  • アクセス権 個人が自分のデータにアクセスできるようにすることです。
  • 消去権・忘れられる権利 企業が必要なくなったときに個人情報の削除を要求する権利です。表現の自由との兼ね合いもあるため常に認められるわけではありません。
  • データポータビリティの権利 個人データを取得している管理者を別の管理者に送信させる権利です。

個人データとして扱われるのは、データの主体を示す個人情報並びに直接的または間接的に識別できるオンライン識別子、いわゆるクッキーも保護の対象に当たります。クッキー自体が保護対象なのかは議論が分かれます。どの時刻にどのサイトを使ったという情報が紐づき、個人を特定しうる可能性があり、あくまで”可能性”という枠になってしまうからです。ちなみに、日本国にも個人情報保護法という法律が存在します。その中では、個人情報のデータベース等で扱われるデータが個人データであり、定義が異なります。日本では名刺をもらってもそれを管理していないのであれば、個人データという扱いからも外され、検索能力を持つ整理した状態にした場合に個人データとして扱われます。