EU一般データ保護規則、本日発効

EU一般データ保護規則(GDPR)が5月25日に発効する。GDPRでは、個人情報保護強化に向け、市民の権利強化と企業の義務の強化が盛り込まれており、欧州連合(EU)域外の企業や組織でも、EU市民の個人情報を取り扱っている場合には適用されるという特徴がある。GDPRの主な内容は次の通り。
1)EU市民に与えられる新たな権利
◆個人情報の一部を提供したEU市民には、情報収集の目的、情報の保存期間、情報のEU外への移転の有無などについての情報を提供しなければならない。
◆個人情報へのアクセスと修正・削除を求める権利。
◆ネット上での忘れられる権利:この権利は既にEU市民に認められているが、新たに法的基盤が整備された。この権利は、表現の自由や報道の自由を侵害する場合、原則として適用されない。また、公共の利益が優先される場合も適用されない。
◆個人情報ポータビリティ権:企業は、ユーザーの求めに応じて、ユーザーの個人情報を再利用可能なフォーマットで提供しなければならない。対象となるデータは、記名情報や履歴、位置情報、購買リスト、電子メール、音楽プレイリストなどで、ユーザーは、これらの情報を他の事業者に移転することができる。ただし、対象となるデータは、ユーザーが自ら提供したものや、ユーザーの行動やサービスの利用により産み出されたデータ(位置情報や楽曲聴取情報、購買リスト)に限られ、例えば、銀行が計算した信用リスクに関する数値などの個人情報からの派生データや、個人情報を基にした計算データ、操作済みデータは含まれない。
◆個人情報自動処理に介入する権利:個人情報がアルゴリズムにより自動処理されている場合、関係する個人は、処理プロセスに異議を唱える権利を持ち、人の手の介入を求めることができる。
◆これらの権利を侵害された個人は、EU加盟各国の個人情報保護機関に訴えを起こすことができる。
2)企業に課される義務
GDPRが適用される企業は、取り扱う個人情報の性質や企業規模により異なる。中小企業のほとんどにとっては、ユーザーや納入業者のリストの取扱方法の厳格化と、CNIL(仏個人情報保護機関)が示唆するように、「常識の範囲内でのルールを遵守する」だけで足りると見られる。具体的には、1)必要とする個人情報を明確に定義し、それらの保護を厳格化する、2)収集した情報を定期的に更新する、3)ユーザーや下請け業者に対し、収集した個人情報に関する適切な情報を提供するとともに、ユーザーが権利を行使するのに必要なツールを提供するなどの措置が必要となる。また、業務内容によっては、DPO(データ保護責任者)の任命などの追加措置が必要となる。加えて、従業員数250人以上の企業・団体の場合は、データ処理の記録義務が課される。