●トピック
●深く知る
越境データフローとは国を超えたデータの流れを意味し、特に個人データが海外に流出したり、利用できる状態にあることへの懸念や管理についての議題になります。これは物理的にだけではなく、ネットワークアクセスによる流出も含みます。この越境データの規制に関して、最近大きな動きがあったのはEUです。データ保護指令という市民データの保護を目的にプライバシー情報の管理についての指令がありましたが、これにさらに規則として繰り上げ罰則を科す一般データ保護規則、通称GDPRが制定されました。GDPRでは、データ保護指令をアップグレードする形で制定され、データ保護当局の存在と個人情報の管理に関するユーザーの権利が定義されています。
GDPR以前のデータ保護指令(DPD)とは、EU市民データの保護を目的にプライバシー情報の管理についての指令です。組織は、データがどのように収集および使用されるかを個人に通知する必要があり、サードパーティとのデータ共有をオプトアウトできるようにする必要があります。また、データの受領国が適切なプライバシー保護を持っていると認められない限り、EU域内からの送信はありません。
一方で一般データ保護規則(GDPR)とは、個人データの保護に対する権利という基本的人権の保護を目的とした法律です。EU所在者の個人データをやり取りする、 EU域内に拠点がある、EUのデータ主体に対する物品やサービスの提供を行う、行動を監視する場合には対象となります。
両者の体制上の違いとしては、DPDでは、加盟国は独立した国家としての立法権、司法権、行政権を持っています。GDPRでは、加盟国一律に適用される規則になります。加盟国の法律は国内法という扱いになり刑罰の可能性もありますが、GDPRは制裁金という扱いになります。
ここからGDPRについて、もう少しだけ深堀致します。GDPRではデータ主体の保護の観点で大きく3つの権利が規定されています。アクセス権とは、個人が自分のデータにアクセスできるようにすることです。自分の個人情報がどのように登録されているのかを確認したいでしょう。消去権・忘れられる権利とは、企業が必要なくなったときに個人情報の削除を要求する権利です。もしも利用しているサービスが終了し、管理されている個人情報がいらなくなったときに安全ではない状態で保管されることは嫌でしょう。つまり、いらなくなったら削除してもらう権利が必要です。データポータビリティの権利とは、個人データを取得している管理者を別の管理者に送信させる権利です。具体的には事業者等に自ら提供した個人データを本人が再利用しやすい形式で受け取る権利になります。自身のデータであれば他の会社に移すことで、データの利活用を活発化させる狙いがあります。
EUに会社を持つ外国の企業やサービスはGDPRに則らなければならず、GDPRに則っているかを認定することを十分性認定と言います。EUから見れば、基本的にはデータ保護に関して十分な体制があるとは見なされないわけです。そのため、GDPRに満たしているかを確認し、定期的に監査しています。
また、GDPRには72時間ルールという厳しい期限があります。これはデータの侵害が発生した場合、データを管理している組織は個人データ侵害を認識してから72時間以内に管轄の監督機関に、個人データ侵害を通知しなければならないというものです。72時間を超えた場合、遅延に対する理由が必要になります。