EU一般データ保護規則(GDPR)は、欧州連合(EU)で可決された包括的なデータ保護法です。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
2018年5月25日に施行されたEU一般データ保護規則(GDPR)は、個人データの収集、処理、保管、転送の枠組みを確立する包括的なデータプライバシー法です。この法律では、すべての個人データを安全な方法で処理することが求められており、これらの要件に従わない事業者に対する罰金や罰則も含まれています。また、個人に対して、個人データに関する様々な権利を与えています。
技術が進歩し、データ収集がより一般化するにつれ、データプライバシーが注目を浴びるようになりました。GDPRは可決された当時、最も包括的なデータプライバシー規制でした。GDPRは、欧州連合(EU)域内で個別に制定されていたデータ保護規則を調和させたものです。また、EU域内で収集された個人データを処理するEU域内の組織にも、これらの規制の適用範囲を拡大しました。
企業や組織がEU域内の人々に商品やサービスを提供したり、EU域内の人々の行動を監視したりする場合には、GDPRは地理的な位置を問わず、あらゆる企業や組織に適用されます。
GDPRでは、個人データとみなされる範囲が拡大され、個人を特定できる自然人に関連するあらゆる情報が含まれるようになりました。これには、氏名や住所など明らかに個人を特定できる情報だけでなく、IPアドレスや、ウェブ閲覧セッションに関連する特定のCookieなど、個人を特定するために使用できるあらゆる情報が含まれます。
GDPRでは、「データ管理者」を個人データの収集および処理の目的・方法を決定する主体と定義し、「データ処理者」を通常は管理者の代わりに個人データの処理を行なう主体であると定義しています。
また、GDPRでは、データ管理者と処理者がどのように個人データを取り扱うべきかについて、7つの主要原則を定めています。
GDPRでは、これらの原則を詳細に説明するとともに、データ管理者および処理者がとるべきいくつかの具体的な行動を要求しています。その一部をご紹介します。
データ管理者および処理者に対する完全な要件については、GDPR に記載されています。
GDPR では、データ主体を「識別された又は識別可能な自然人」と定義しています。データ主体は以下の権利を有します。
GDPRでは、そのポリシーに違反した企業に課される制裁金について説明しています。
GDPRには、これに基づく制裁金には2つの段階があり、GDPRでは、違反の類型に応じた2段階の制裁金が設定されています。
これらの制裁金に加えて、企業がGDPRに違反した場合、データ主体は損害賠償を求めることができます。
Cloudflareの使命は、より良いインターネットの構築に貢献することであり、データプライバシーはその使命の中核をなすものです。Cloudflareは、「プライバシー・バイ・デザイン」(設計段階でプライバシー保護の施策を組み込む)の考え方で製品を構築しており、ユーザーのプライバシーを向上させるためのサービス(Cloudflare Data Localization Suiteなど)を数多くリリースしています。Cloudflareはまた、EUが公式に認めた初のGDPR行動規範であるEU行動規範のプライバシー検証も取得しています。CloudflareとGDPRの詳細についてはこちらをご覧ください。