今回は2018年5月に施行される欧州のプライバシー法「一般データ保護規則(GDPR)」の関連するリンク集の紹介です。
まだまだ理解が進んでいないので、いったん参考にするための情報を集めておきました。
施行後の反応については以下を参考にして下さい。
GDPRの概要
2018年5月25日に、欧州のプライバシー法「一般データ保護規則 (GDPR)」が施行されます。GDPR は、EU加盟国(EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタインを含む、以下同じ)の居住者に製品・サービスを提供する、あるいは EU加盟国 の居住者に結び付くデータを収集、分析する企業、政府機関、非営利団体、その他の組織に課せられる規則です。GDPR は所在地に関係なく適用されます。
ここでポイントとなるのは「EUの居住者」というところ、組織の所在地は関係なく適用されるということです。国籍に関係なく(つまり日本人でも)「EUの居住者」に結び付くデータがGDPRの対象となり、所在地に関係ないので日本の企業も対象になりうるということです。
違反時の制裁金の規定がある
違反の内容により、制裁金が設定されています。かなり高額の設定となっています。
- 企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方
- 企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方
EU域外への個人データの移転について
GDPRではEU域内から域外への個人データの移転に関して規定があります。「十分な個人データ保護の保障 」(欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)があります。このように欧州委員会が「十分性の認定」をしている国地域は以下になります。
アルゼンチン共和国、アンドラ公国、イスラエル、ウルグアイ、東方共和国、英領ガーンジー、英領ジャージー、英領マン島、カナダ、スイス連邦、デンマーク自治領フェロー諸島、ニュージーランド、アメリカ合衆国(※プライバシーシールドに基づく)
ここに日本は含まれていません。
参考:個人情報保護委員会:GDPR(General Data Protection Regulation:一般データ保護規則)
参考リンク集
以下は関連するリンク集です。
EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の概要(後編) | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)への対応支援 | PwC Japanグループ
GDPR(EU一般データ保護規則)| KPMG
EU一般データ保護規則(GDPR)対策支援サービス|EY Japan
GDPR|シリーズ(連載)/SERIES|WIRED.jp
GDPR:適用開始直前!:EUからの個人データの越境移転への対応の方向性 | 弁護士法人 三宅法律事務所
以下のリンクでではサイボウズでEUデータ保護規則が壁となっている話が展開されています。
クラウドサービスの提供側の対応
クラウドサービスの提供側の情報としてAmazon(AWS)、Microsoft、Googleの関連するリンクはこちらです。
GDPR – アマゾン ウェブ サービス (AWS)
Microsoft Trust Center | 一般データ保護規則 (GDPR)
一般データ保護規則(GDPR)- Google Cloud
AWSのページをここ数日確認していましたが、レイアウトが更新されて見やすくなってますね。こちらにある程度力を入れていることがわかります。
Slackの参考事例
Slackを利用している人の場合、プライバシーポリシーに関する通知があったと思います。Slackはプライバシーシールドに基づいて「十分性の認定」を受けてるアメリカの企業ですので、必ずしも同じ対応となるわけではありませんが、参考として載せておきます。
まとめ
今回は欧州「一般データ保護規則(GDPR)」の関連するリンクのまとめでした。これらの内容を理解していくと、自社の製品・サービスに影響がある人たちが予想より多いことがわかると思います。
GDPRについては引き続き情報を収集して、どこまでの対応で問題がないかなど継続して調査したいと思います。
以上
【関連するリンク】