GDPRとは【用語集詳細】
GDPRはGeneral Data Protection Regulationの略であり、EU一般データ保護規則と訳されます。
2018年から施行されている、EUにおける個人データおよびプライバシーの保護について規定した法です。EU域内の個人に関するデータ・プライバシーを取り扱う際には、事業者などにGDPRの遵守が要求されます。
GDPRは、EU市民の個人情報を取り扱うすべての組織体に適用されるものであり、また法令に違反した場合の罰金は非常に高額です。
GDPRが掲げるデータ保護原則は以下の7つです。
- 法令順守、公平性、透明性
- 正当な目的に基づいた個人情報処理の制限
- 最小限の個人情報収集
- 保管する個人情報の正確性
- 必要最小限の個人情報保管
- 適切なセキュリティ、完全性、機密性を満たす手段による個人情報の処理
- データ・コントローラのGDPR遵守に関する説明責任
GDPRはEU域内で適用される法律であるため、米国企業がEU域内で活動するためには、GDPRを遵守することが要求されます。GDPRを遵守する米国企業に対し、EU市民の個人情報処理を許可するフレームワークとして、プライバシーシールドが運用されてきました。プライバシーシールドは、米国商務省による監督の下、各企業が自己調査を行い、GDPRに沿ったセキュリティ対策を講じているという認証を得る制度です。
しかし、米国政府情報機関による大規模監視がエドワード・スノーデンの告発によって顕在化した後、2020年、欧州司法裁判所は、プライバシーシールドがGDPR不適合であるとの判決を下しました。
この決定を受けて、現在、EUと米国との間で新たなプライバシー保護フレームワークとしてEU-米国データプライバシーフレームワークの制定が進められています。この新たなフレームワークの主眼は、米国企業に要求するセキュリティ対策の厳格化と、米国当局による情報収集の規制です。
GDPRの基礎となった個人情報保護の考え方に、OECD(Organisation for Economic Co-operation and Development、「経済協力開発機構」)が制定したプライバシーガイドラインがあります。個人情報の適切な取り扱いを求める8つの原則は以下のとおりです。
- 収集制限の原則
- データ品質の原則
- 目的の明確化の原則
- 使用制限の原則
- セキュリティ対策の原則
- 公開の原則
- 個人の参加の原則
- 説明責任の原則