EU一般データ保護規則(GDPR)とは?

EU一般データ保護規則(GDPR)は、欧州連合(EU)で可決された包括的なデータ保護法です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • EU一般データ保護規則(GDPR)の主な要件に関する説明
  • GDPRのもとで個人が有する権利に関する説明
  • データプライバシーに関するGDPRの重要性を理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

EU一般データ保護規則(GDPR)とは?

2018年5月25日に施行されたEU一般データ保護規則(GDPR)は、個人データの収集、処理、保管、転送の枠組みを確立する包括的なデータプライバシー法です。この法律では、すべての個人データを安全な方法で処理することが求められており、これらの要件に従わない事業者に対する罰金や罰則も含まれています。また、個人に対して、個人データに関する様々な権利を与えています。

技術が進歩し、データ収集がより一般化するにつれ、データプライバシーが注目を浴びるようになりました。GDPRは可決された当時、最も包括的なデータプライバシー規制でした。GDPRは、欧州連合(EU)域内で個別に制定されていたデータ保護規則を調和させたものです。また、EU域内で収集された個人データを処理するEU域内の組織にも、これらの規制の適用範囲を拡大しました。

企業や組織がEU域内の人々に商品やサービスを提供したり、EU域内の人々の行動を監視したりする場合には、GDPRは地理的な位置を問わず、あらゆる企業や組織に適用されます。

GDPRでは「個人データ」をどのように定義しているか?

GDPRでは、個人データとみなされる範囲が拡大され、個人を特定できる自然人に関連するあらゆる情報が含まれるようになりました。これには、氏名や住所など明らかに個人を特定できる情報だけでなく、IPアドレスや、ウェブ閲覧セッションに関連する特定のCookieなど、個人を特定するために使用できるあらゆる情報が含まれます。

データ管理者とデータ処理者に対するGDPRの要件は?

GDPRでは、「データ管理者」を個人データの収集および処理の目的・方法を決定する主体と定義し、「データ処理者」を通常は管理者の代わりに個人データの処理を行なう主体であると定義しています。

また、GDPRでは、データ管理者と処理者がどのように個人データを取り扱うべきかについて、7つの主要原則を定めています。

  • 適法性、公平性、透明性
  • 目的の限定
  • データの最小化
  • 精度
  • 保管の制限
  • 完全性および機密性(セキュリティ)
  • アカウンタビリティ

GDPRでは、これらの原則を詳細に説明するとともに、データ管理者および処理者がとるべきいくつかの具体的な行動を要求しています。その一部をご紹介します。

  • 記録の保持:データ処理者は、自身の処理活動の記録を保持しなければならない。
  • セキュリティ対策:データ管理者および処理者は、収集および処理するデータを保護するために、適切なセキュリティ対策を定期的に使用およびテストしなければならない。
  • データ侵害の通知:個人データの侵害を受けたデータ管理者は、一部の例外を除き、72時間以内に適切な当局に通知しなければならない。通常、データ管理者は、データ漏えいにより影響を受けた個人にも通知しなければならない。
  • データ保護責任者(DPO):データを処理する企業は、データ保護責任者(DPO)を雇用する必要がある場合があります。DPOは、すべてのGDPRコンプライアンスの取り組みを主導および監督します。

データ管理者および処理者に対する完全な要件については、GDPR に記載されています。

GDPRの下でデータ主体はどのような権利を持つか?

GDPR では、データ主体を「識別された又は識別可能な自然人」と定義しています。データ主体は以下の権利を有します。

  • 情報の通知を受ける権利: データ主体は、自身の個人データがどのように収集・処理されるかについて、分かりやすい情報の提供を受けなければならない。
  • データ携行の権利:データ主体は、自身のデータを、あるデータ管理者から別のデータ管理者に移すことができる。
  • アクセスの権利:データ主体は、収集した個人データのコピーを入手する権利を有する。
  • 訂正の権利:データ主体は、自身に関する不正確なデータを修正することができる。
  • 消去の権利:データ主体は、自身のデータの削除を要求することができる(忘れられる権利とも呼ばれる)。
  • 処理を制限する権利:特定の状況下において、データ主体は自身の個人データの処理方法を制限することができる。
  • 異議を述べる権利:データ主体は、自身の個人データの処理に対して異議申し立てをする権利を有し、一定の状況下では、データ管理者またはデータ処理者はデータ主体の異議申し立てに応じる義務がある。
  • 自動化された処理に対して異議を述べる権利:データ主体は、自動化されたデータ処理のみに基づく、法的に影響を与える決定に対して異議を申し立てることができる。

GDPRに違反した場合の罰則は?

GDPRでは、そのポリシーに違反した企業に課される制裁金について説明しています。

GDPRには、これに基づく制裁金には2つの段階があり、GDPRでは、違反の類型に応じた2段階の制裁金が設定されています。

  • 第一段階。違反した場合、最高で1,000万ユーロまたは当該企業の全世界における年間売上高の2%のいずれか高い方の制裁金が科せられます。
  • 第二段階。違反した場合、最高で2,000万ユーロまたは当該企業の全世界における年間売上高の4%のいずれか高い方の制裁金が科せられます。

これらの制裁金に加えて、企業がGDPRに違反した場合、データ主体は損害賠償を求めることができます。

Cloudflareとデータプライバシー

Cloudflareの使命は、より良いインターネットの構築に貢献することであり、データプライバシーはその使命の中核をなすものです。Cloudflareは、「プライバシー・バイ・デザイン」(設計段階でプライバシー保護の施策を組み込む)の考え方で製品を構築しており、ユーザーのプライバシーを向上させるためのサービス(Cloudflare Data Localization Suite など)を数多くリリースしています。 CloudflareとGDPRの詳細についてはこちらをご覧ください。