個人情報を守るGDPRとは?
セキュリティを知りたい
先生、「GDPR」って最近よく聞くんですけど、どんなものなんですか?
セキュリティ研究家
そうだね。「GDPR」は「EU一般データ保護規則」の略で、ヨーロッパの人たちの個人情報保護のための法律なんだ。簡単に言うと、個人情報を扱う企業は、決められたルールを守らないといけないんだよ。
セキュリティを知りたい
へえー。どんなルールがあるんですか?
セキュリティ研究家
例えば、個人情報を勝手に集めたり、使ったりしてはいけない、使う目的をきちんと説明しないといけない、などのルールがあるよ。世界中で個人情報が大切になっているから、君もニュースなどで「GDPR」という言葉をよく見聞きするようになると思うよ。
GDPRとは。
「セキュリティを強くするための知識、『GDPR』について説明します。『GDPR』は『General Data Protection Regulation』の略で、『EU一般データ保護規則』と訳されます。2018年から施行されている、ヨーロッパ連合における個人の情報や秘密を守るための法律です。ヨーロッパ連合に住む人の情報や秘密を扱う場合、会社などはGDPRに従うことが求められます。GDPRは、ヨーロッパ連合の人の個人情報を取り扱うすべての組織に適用され、法律に違反した場合の罰金はとても高額です。GDPRが掲げるデータ保護の原則は7つあります。GDPRはヨーロッパ連合内で適用される法律なので、アメリカの会社がヨーロッパ連合内で活動するためには、GDPRに従うことが求められます。GDPRに従うアメリカの会社に対し、ヨーロッパ連合の人の個人情報処理を許可する枠組みとして、『プライバシーシールド』が使われてきました。『プライバシーシールド』は、アメリカ合衆国商務省の監督の下、それぞれの会社が自己調査を行い、GDPRに沿ったセキュリティ対策をとっているという認証を得る制度です。しかし、アメリカ合衆国政府の情報機関による大規模な監視がエドワード・スノーデンの告発によって明らかになった後、2020年、ヨーロッパ司法裁判所は、『プライバシーシールド』がGDPRに適合していないという判決を下しました。この決定を受けて、現在、ヨーロッパ連合とアメリカ合衆国との間で、新しいプライバシー保護の枠組みとして『EU-米国データプライバシーフレームワーク』を作る取り組みが進められています。この新しい枠組みの狙いは、アメリカの会社に求めるセキュリティ対策を厳しくすることと、アメリカ合衆国の当局による情報収集の規制です。GDPRの基礎となった個人情報保護の考え方のもとになっているものに、『OECD(経済協力開発機構)』が作ったプライバシーガイドラインがあります。個人情報の適切な取り扱いを求める8つの原則は以下のとおりです。」
GDPRの概要
– GDPRの概要GDPRは「General Data Protection Regulation」の略語で、日本語では「EU一般データ保護規則」と訳されます。2018年5月から施行されている、ヨーロッパ連合(EU)における個人データおよびプライバシーの保護に関する法律です。GDPRは、EU域内の個人のデータ保護を強化し、個人自らが自身のデータ管理・コントロールできる権利を保障することを目的としています。インターネットの普及やグローバル化が進む中で、個人情報の取り扱いに関するルールを統一し、EU市民のプライバシーを保護しようとする狙いがあります。GDPRは、EU域内に拠点を持つ企業はもちろん、EU域外に拠点を持つ企業であっても、EU市民の個人情報を扱う場合にはその適用対象となります。そのため、日本企業であっても、EUに進出している企業やEU市民の個人情報を扱う企業は、GDPRの遵守が求められます。GDPRでは、個人情報取得の際に、利用目的を明確化し、本人の同意を得ることが義務付けられています。また、個人データへのアクセス、修正、削除などを要求する権利や、自身のデータ利用について異議を唱える権利なども認められています。GDPRに違反した場合、最大で全世界売上高の4%または2,000万ユーロ(約29億円1ユーロ=145円で計算)のいずれか高い方の金額が制裁金として科せられる可能性があります。これは非常に高額な罰金であり、企業にとっては大きなリスクとなります。GDPRは、企業にとって遵守が必須の重要な法律と言えるでしょう。
| 項目 | 内容 |
|---|---|
| 正式名称 | General Data Protection Regulation |
| 日本語名 | EU一般データ保護規則 |
| 施行日 | 2018年5月 |
| 目的 | EU域内の個人のデータ保護強化、個人によるデータ管理・コントロール権の保障 |
| 対象 | EU域内に拠点を持つ企業、EU域外でもEU市民の個人情報を扱う企業 |
| 義務 | 個人情報取得時の利用目的明確化と本人同意、アクセス・修正・削除要求への対応など |
| 違反時の制裁金 | 全世界売上高の4%または2,000万ユーロのいずれか高い方の金額 |
GDPRのデータ保護原則
– GDPRのデータ保護原則
GDPR(一般データ保護規則)は、欧州連合(EU)域内の個人データを保護するための包括的な法律です。GDPRでは、個人データの取り扱いに関する7つの基本原則が定められています。これらの原則は、個人データの保護を強化し、組織が責任ある方法でデータを処理することを保証するために設計されています。
-# GDPRのデータ保護原則
1. –合法性、公正性、透明性–
個人データは、違法な手段で取得したり、不当な目的で使用したりすることは許されません。データの収集や利用は、常に法に基づき、公正かつ透明性のある方法で行われなければなりません。具体的には、個人データの利用目的を明確に示し、データ主体である個人の同意を得ることが求められます。
2. –目的の特定–
個人データは、あらかじめ特定された明確な目的の範囲内で利用しなければなりません。当初の目的と無関係な目的で個人データを利用することは、原則として認められません。例えば、商品購入時に収集した個人情報を、本人の同意なく広告配信に利用することは禁止されています。
3. –データの最小化–
個人データの収集は、目的達成に必要な範囲に限定しなければなりません。過剰な個人データの収集や、不要になった個人データを保持し続けることは許されません。必要なデータだけを収集し、利用後は適切に削除または匿名化する必要があります。
4. –正確性–
個人データは常に正確かつ最新の状態に保たなければなりません。誤った情報や古い情報に基づいて判断や処理を行うことは、個人の権利を侵害する可能性があります。そのため、データの正確性を定期的に確認し、必要に応じて修正する必要があります。
5. –保存期間の制限–
個人データは、あらかじめ定められた期間または利用目的が達成された後は、削除しなければなりません。不要になった個人データをいつまでも保管しておくことは、漏洩のリスクを高めることに繋がります。保存期間を明確に設定し、その期間が過ぎたデータは確実に廃棄する必要があります。
6. –完全性及び機密性–
個人データは、不正アクセス、漏洩、破壊、紛失などから適切に保護しなければなりません。組織は、技術的な対策と組織的な対策を組み合わせて、個人データの安全性を確保する必要があります。例えば、アクセス制御、暗号化、従業員教育などを通じて、データの機密性を保持する必要があります。
7. –説明責任–
組織は、GDPRの原則を遵守していることを証明する責任があります。具体的には、データ処理に関する記録を保持し、監督機関からの要求に応じて提示する必要があります。また、データ処理の影響評価を実施し、個人データのリスクを評価し、適切な対策を講じる必要があります。
これらの原則を遵守することで、個人データの適切な保護と活用が可能となります。
| 原則 | 説明 |
|---|---|
| 合法性、公正性、透明性 | 個人データは、違法な手段で取得したり、不当な目的で使用したりすることは許されません。データの収集や利用は、常に法に基づき、公正かつ透明性のある方法で行われなければなりません。具体的には、個人データの利用目的を明確に示し、データ主体である個人の同意を得ることが求められます。 |
| 目的の特定 | 個人データは、あらかじめ特定された明確な目的の範囲内で利用しなければなりません。当初の目的と無関係な目的で個人データを利用することは、原則として認められません。例えば、商品購入時に収集した個人情報を、本人の同意なく広告配信に利用することは禁止されています。 |
| データの最小化 | 個人データの収集は、目的達成に必要な範囲に限定しなければなりません。過剰な個人データの収集や、不要になった個人データを保持し続けることは許されません。必要なデータだけを収集し、利用後は適切に削除または匿名化する必要があります。 |
| 正確性 | 個人データは常に正確かつ最新の状態に保たなければなりません。誤った情報や古い情報に基づいて判断や処理を行うことは、個人の権利を侵害する可能性があります。そのため、データの正確性を定期的に確認し、必要に応じて修正する必要があります。 |
| 保存期間の制限 | 個人データは、あらかじめ定められた期間または利用目的が達成された後は、削除しなければなりません。不要になった個人データをいつまでも保管しておくことは、漏洩のリスクを高めることに繋がります。保存期間を明確に設定し、その期間が過ぎたデータは確実に廃棄する必要があります。 |
| 完全性及び機密性 | 個人データは、不正アクセス、漏洩、破壊、紛失などから適切に保護しなければなりません。組織は、技術的な対策と組織的な対策を組み合わせて、個人データの安全性を確保する必要があります。例えば、アクセス制御、暗号化、従業員教育などを通じて、データの機密性を保持する必要があります。 |
| 説明責任 | 組織は、GDPRの原則を遵守していることを証明する責任があります。具体的には、データ処理に関する記録を保持し、監督機関からの要求に応じて提示する必要があります。また、データ処理の影響評価を実施し、個人データのリスクを評価し、適切な対策を講じる必要があります。 |
米国企業への影響
– 米国企業への影響一般データ保護規則(GDPR)は、欧州連合(EU)域内における個人情報の取り扱いを規制する法律です。そのため、活動拠点がEU域外であっても、EU域内で事業を展開する米国企業もGDPRの遵守が義務付けられます。これまで、米国企業がEU市民の個人情報を合法的に取り扱うための枠組みとして、「プライバシーシールド」と呼ばれる制度がありました。これは、米国商務省の監督のもと、企業が自主的にGDPRに準拠したセキュリティ対策を講じていることを証明する認証制度です。しかし、2013年にアメリカ国家安全保障局(NSA)による大規模な情報収集活動が明らかになったことを受け、プライバシーシールドの有効性が疑問視されるようになりました。そして2020年、欧州司法裁判所は、プライバシーシールドではEU市民の個人情報が米国政府によるアクセスから十分に保護されないと判断し、GDPRに適合しないと判決を下しました。この判決は、EU域内で事業を行う多くの米国企業に大きな影響を与えました。なぜなら、EU市民の個人情報を扱うためには、プライバシーシールド以外の法的根拠に基づいて、改めて個人情報の移転や取り扱いの正当性を確保する必要が生じたからです。具体的には、GDPRが認める標準契約条項(SCC)の締結や、厳格な社内規則の整備などが必要となり、企業は対応に追われることになりました。プライバシーシールドの無効化は、日米間のデータ流通にも影響を与える可能性があります。日本も個人情報保護法を改正するなど、GDPRに合わせた法整備を進めています。そのため、今後、日本企業も米国企業との取引において、GDPRの遵守状況をより厳格に確認する必要性が高まると考えられます。
| 項目 | 内容 |
|---|---|
| GDPRの対象 | EU域内で事業を展開する企業 (活動拠点がEU域外でも対象) |
| プライバシーシールドとは | 米国企業がEU市民の個人情報を合法的に取り扱うための枠組み (GDPRに準拠したセキュリティ対策を講じていることを証明する認証制度) |
| プライバシーシールド無効化の理由 | 欧州司法裁判所により、EU市民の個人情報が米国政府によるアクセスから十分に保護されないと判断されたため |
| プライバシーシールド無効化の影響 |
|
新たな枠組み
– 新たな枠組みこれまで、個人情報のやり取りを含む国際的なビジネス活動において、ある程度の安全性を保障してきた枠組みがありました。しかし、近年、その枠組みでは対応しきれない問題点が指摘されるようになり、新たな枠組みの必要性が高まっていました。そこで、個人情報の保護をより強化するため、EUと米国は協力し、新たな枠組み作りを進めています。この枠組みは「EU-米国データプライバシーフレームワーク」と呼ばれ、これまで以上に個人情報の取り扱いに注意を払うと共に、安全性を高めることを目的としています。具体的には、この新しい枠組みでは、米国企業に対して、個人情報の保護に関するより厳しいルールが適用されます。例えば、これまで以上に強固なセキュリティ対策の実施が求められるほか、個人情報の利用目的も厳格に制限されます。さらに、米国当局による情報収集活動に対しても、新たな枠組みでは一定の制限が設けられます。これは、個人のプライバシーを不当に侵害することを防ぐための措置です。この新たな枠組みは、国際的なビジネス活動における個人情報の保護水準を引き上げるだけでなく、EUと米国の関係強化にも貢献することが期待されます。
| 枠組みの変更点 | 詳細 |
|---|---|
| 米国企業への個人情報保護ルールの強化 | – より強固なセキュリティ対策の実施 – 個人情報の利用目的の厳格な制限 |
| 米国当局の情報収集活動への制限 | – 個人のプライバシーを不当に侵害することを防ぐための措置 |
OECDプライバシーガイドライン
– OECDプライバシーガイドライン
経済協力開発機構(OECD)が制定したプライバシーガイドラインは、個人情報保護の考え方の基礎となり、後のGDPR(一般データ保護規則)にも大きな影響を与えました。このガイドラインでは、個人情報の適切な取り扱いを求める8つの原則が掲げられています。
これらの原則は、個人情報を取り扱う全ての組織が遵守すべき基本的な指針と言えます。
1. -収集制限の原則- 個人情報の収集は、公正かつ適法な手段で行われなければなりません。また、可能な限り、収集する目的を本人に事前に通知し、同意を得ることが求められます。
2. -データ内容の原則- 個人情報は、あらかじめ明確に示された正当な目的の範囲内で収集されなければなりません。目的外の利用や開示は、本人の同意または法律の許可がない限り認められません。
3. -利用目的の特定の原則- 個人情報を収集する際には、誰がこの情報を管理するのか、そしてどのような目的で利用するのかを、本人に明確に示す必要があります。
4. -データの質の原則- 個人情報は、利用目的と関連性があり、正確で完全かつ最新の状態に保たれている必要があります。
5. -安全保護の原則- 個人情報は、紛失、不正アクセス、破壊、利用、修正、または開示といったリスクから保護されるように、適切な安全対策を講じる必要があります。
6. -公開の原則- 個人情報の管理方針や慣行、利用目的については、公開し、誰でもアクセスできるようにする必要があります。
7. -個人参加の原則- 本人からの要求があれば、保有している個人情報へのアクセスを認め、内容が不正確または不完全な場合には、訂正、消去、または利用停止に応じる必要があります。
8. -説明責任の原則- データ管理者は、収集した個人情報に関して、上記の原則が遵守されていることに対する責任を負います。
| 原則 | 内容 |
|---|---|
| 収集制限の原則 | 個人情報の収集は、公正かつ適法な手段で行われなければならず、可能な限り、収集目的を本人に事前に通知し、同意を得ることが求められる。 |
| データ内容の原則 | 個人情報は、あらかじめ明確に示された正当な目的の範囲内で収集されなければならず、目的外の利用や開示は、本人の同意または法律の許可がない限り認められない。 |
| 利用目的の特定の原則 | 個人情報を収集する際には、誰がこの情報を管理するのか、そしてどのような目的で利用するのかを、本人に明確に示す必要がある。 |
| データの質の原則 | 個人情報は、利用目的と関連性があり、正確で完全かつ最新の状態に保たれている必要がある。 |
| 安全保護の原則 | 個人情報は、紛失、不正アクセス、破壊、利用、修正、または開示といったリスクから保護されるように、適切な安全対策を講じる必要がある。 |
| 公開の原則 | 個人情報の管理方針や慣行、利用目的については、公開し、誰でもアクセスできるようにする必要がある。 |
| 個人参加の原則 | 本人からの要求があれば、保有している個人情報へのアクセスを認め、内容が不正確または不完全な場合には、訂正、消去、または利用停止に応じる必要がある。 |
| 説明責任の原則 | データ管理者は、収集した個人情報に関して、上記の原則が遵守されていることに対する責任を負う。 |