情報技術の力により、インターネットを通じて製品を販売したりサービスを提供したりする企業は、技術的にはグローバルビジネスと言えるでしょう。ノベルティTシャツを販売する個人経営の企業であっても、高度なクラウドコンピューティングソリューションを提供するフォーチュン100企業であっても、母国以外の国に居住する顧客を抱えている可能性は高いでしょう。一般的に、これは良いことと考えられています。
しかし、グローバル展開には一定の責任が伴い、その一部は法律や規制に定められており、具体的かつ潜在的にコストのかかる結果を招く可能性があります。例えば、欧州連合(EU)は、市民のデータセキュリティとプライバシーを保護するために設計された新しい規制を施行しています。一般データ保護規則(GDPR)は2018年5月25日に施行され、事業の所在地を問わず、すべてのEU市民と彼らと取引するすべての事業体に適用されます。
簡単に言えば、EU加盟国の顧客を持ち、その顧客との取引の結果としてデータを収集する場合、GDPRの規則と規制の対象となります。企業の規模や範囲に関する例外はなく、インターネット上で事業を展開するあらゆる企業がこの法律の対象となる可能性があります。
このチートシートでは、GDPR とは何か、そしてその規定が企業とその IT インフラストラクチャにどのような影響を与えるかについて説明します。(注: GDPR に関するこの記事は、無料の PDF としてダウンロードできます。)
参照: EU一般データ保護規則(GDPR)ポリシー(Tech Pro Research)
エグゼクティブサマリー
- GDPR とは何ですか? GDPR は、すべての欧州連合加盟国のデータプライバシー法を成文化し、統一するものです。
- GDPR がなぜ重要なのか?個人データの収集と使用に関する GDPR の規定に違反した場合の罰則は、壊滅的なものになる可能性があります。
- GDPR は誰に影響を与えますか? GDPR は、EU 市民から個人データを収集するすべての企業に適用されます。
- GDPR の主な規定は何ですか?個人データとは、直接的または間接的に個人を特定するために使用できる、自然人に関するあらゆる情報と定義されます。
- GDPRはいつ発効しましたか? GDPRは2018年5月25日に施行されました。
- GDPR について詳しく知るにはどうすればいいですか? GDPR の規定は EU から公開されています。
参照: TechRepublic のすべてのチートシートと賢い人向けガイド
画像: Pe3check、ゲッティイメージズ/iStockphoto
GDPRとは何ですか?
EU一般データ保護規則(GDPR)は、データ保護指令95/46/ECに代わるものです。GDPRは、EU加盟国全体のデータプライバシー法を成文化し、統一するものであり、EU加盟国市民全員、そして最も重要な点として、EU加盟国市民と取引を行うすべての企業に適用されます。具体的には、GDPRの管轄権拡大により、EU域内に居住する主体の個人データを処理するすべての企業に、企業の所在地を問わず適用されることが明確に規定されています。
GDPRは、顧客の個人データの安全性確保、そして企業によるそのデータの合法的な収集と利用に関する規定を明確かつ基本的な常識として規定していますが、違反に対する罰則は重大です。GDPRの規定に違反した企業は、年間世界売上高の4%または2,000万ユーロのいずれか高い方の罰金を科せられる可能性があります。
参照: GDPR セキュリティパック: データを保護しコンプライアンスを達成するためのポリシー (Tech Pro Research)
GDPRでは、企業は個人データを処理する前に、対象者から明示的な許可を求めなければなりません。その際、明確な言葉遣いが求められます。GDPRの規定では、法律用語で埋め尽くされた長文の文書の使用が明確に禁止されているため、利用規約やプライバシーポリシーといった分厚い文書の中に許可事項を隠蔽するだけでは不十分です。同意は特定の目的のために与えられなければならず、他の文書やポリシーステートメントとは別に申請する必要があります。
追加リソース:
- GDPRとは?新しい一般データ保護規則(GDPR)について知っておくべきことすべて(ZDNet)
- GDPRの現実:恐怖、不確実性、そして疑念(ZDNet)
- GDPRは、好むと好まざるとにかかわらず、すでに成功している(ZDNet)
GDPR が重要なのはなぜですか?
顧客からデータを収集する企業は、GDPRの規定の対象となる可能性があり、違反に伴う罰則も適用されます。違反に対する罰則は高額になる可能性があるため、すべての企業はGDPRの施行前に、GDPRの厳格な遵守を自社の業務慣行と手順に組み込む必要があります。
GDPRの施行から約1年が経過した2019年5月現在、欧州データ保護当局は、データ侵害に関する通知が約9万件受領されたことを確認しています。ただし、これはGDPRへの準拠を目指す組織から受領した通知のみに過ぎません。また、同じデータ保護当局は、同時期に懸念を抱く市民から苦情や問い合わせが約14万5000件寄せられたと報告しています。
GDPR施行初年度、約100の組織が規則の完全遵守を怠ったとして罰金を科されました。特に注目すべきは、2019年1月、Googleがユーザーから個人データを収集したにもかかわらず、そのデータがプラットフォーム上の広告のパーソナライズにどのように使用されるかについて十分な透明性を提供しなかったとして、フランス当局から5,000万ユーロの罰金を科されたことです。
追加リソース:
- なぜデータセキュリティがITリーダーにとって最大の懸念事項となっているのか(TechRepublic)
- GDPRがFacebook、EU、そしてあなたにとって何を意味するのか(CNET)
- ビデオ: GDPR がもたらす主要な技術的課題 (TechRepublic)
- ビデオ: GDPR がクラウドデータセキュリティに与える影響 (TechRepublic)
- GDPRはいかにして消費者をデータの王者にするのか(TechRepublic)
- アルゴリズムのバイアス:政府規制の是非(TechRepublic)
- ネットワーク セキュリティ ポリシー (TechPro Research)
GDPR は誰に影響を与えますか?
EU市民から個人情報を収集・受領する場合、企業の所在地に関わらず、GDPRが適用されます。事実上、企業がウェブサイトという形でインターネット上に存在し、顧客の所在地に関わらず個人データを収集している場合、GDPRの規定が適用されます。責任回避の観点から言えば、これは実質的に、GDPRがすべての対外的な企業に適用されることを意味します。
GDPR 施行初年度に欧州データ保護当局が課した罰金は、否定できない 2 つの事実を明らかにしました。それは、GDPR は機密性の高い個人データを収集、保管、処理するすべての企業に適用され、欧州当局は罰金や罰則を伴ってその規定を執行する意思と能力があるということです。
追加リソース:
- GDPR は実際に企業にどのような影響を与えたのでしょうか? (TechRepublic)
- GDPRに基づくこれまでの罰金:企業が学べる教訓(TechRepublic)
- マイクロソフトは企業の GDPR 対応状況の無料評価を提供しています (TechRepublic)
- 米国企業:EUの新しいプライバシー規制への準備を開始(TechRepublic)
- 欧州のGDPRがオーストラリアの組織に及ぼす影響(ZDNet)
- データ侵害の31%が従業員の解雇につながる理由(TechRepublic)
- ビッグデータのプライバシーはあなたが思っている以上に大きな問題です(TechRepublic)
- 電子書籍 - ITリーダーのためのビッグデータセキュリティガイド(Tech Pro Research)
GDPR はいつ発効しましたか?
GDPR は 2018 年 5 月 25 日に施行されました。
追加リソース:
- データ保護:ビジネスにおける3つの主要な課題(TechRepublic)
- GDPRコンプライアンス:多くの企業にとって、パニックに陥るべき時かもしれない(ZDNet)
- EUの一般データ保護規則(GDPR)が迫る中、テクノロジーベンダーは売り込みの準備を整えている(ZDNet)
- シンガポール、日本、韓国はEUの新データ法への準備が最も遅れている国(ZDNet)
- トレバー・ヒューズ:企業はGDPRにどう備えるべきか(ZDNetビデオ)
- ホテルの予約確認リンクから個人情報が第三者に漏洩する仕組み(TechRepublic)
GDPR の主な規定は何ですか?
GDPRでは、個人データとは、自然人(データ主体)に関する、直接的または間接的に個人を特定できるあらゆる情報と定義されています。氏名、写真、メールアドレス、銀行口座情報、ソーシャルネットワーキングサイトへの投稿、医療情報、さらにはコンピューターのIPアドレスなど、あらゆる情報が含まれます。
このような広範な定義の下では、企業はすべての個人データへのアクセスを、当該データへのアクセスが特に必要な職務を担う、承認および資格を有する従業員のみに制限するための、文書化された手順を講じる必要があります。セキュリティプロトコルの施行不足に起因するセキュリティ侵害は、GDPRに基づき、厳しい罰金および金銭的罰則の対象となります。
GDPRはデータ主体に関する具体的な権利も規定しています。GDPRを遵守するためには、EU市民の個人データを収集するすべての企業が、これらの成文化された権利を認識し、実施する必要があります。
同意
GDPRは、長々とした複雑な利用規約、特に法律用語を含む規約の使用を明確に禁止しています。同意の要請、利用規約の宣言、プライバシーに関する声明は、明確かつ簡潔に、そして意味の曖昧さなく提示されなければなりません。さらに、同意の撤回は、同意を与えるのと同じくらい容易に行えるものでなければなりません。
GDPはまた、個人情報や機密データを扱う企業や組織は、データにアクセスするたびに同意と許可を求めなければならないことを明確に定めています。この規則では、企業は一度個人情報へのアクセス許可を求めただけで、その後のすべての取引にそのアクセスを当てはめることはできません。GDPRでは、継続的な包括的な同意というものは存在せず、データが新たな目的で使用されるたびに、新たな同意を求める必要があります。
違反通知
GDPRの遵守には、企業がセキュリティ侵害を発見してから72時間以内に、すべてのデータ主体にその旨を通知することが義務付けられています。通知方法は、電子メール、電話メッセージ、公表など、情報をタイムリーに伝達するために必要と考えられるあらゆる形式を含みます。
アクセス権
GDPRでは、企業はデータ主体の要請に応じて、当該データ主体に関する個人データが処理されているかどうか、どこで処理されているか、そしてどのような目的で処理されているかについて確認を行う義務を負っています。また、企業は処理されている個人データのコピーを電子形式で無料で提供できなければなりません。
忘れられる権利
GDPRに基づき、企業はデータ主体から要請があった場合、すべての個人データを消去します。その時点で、企業はデータのさらなる提供を停止し、すべての処理を停止します。消去の有効な条件としては、データがもはや関連性がなくなった場合、当初の目的が達成された場合、またはデータ主体がその後同意を撤回した場合などが挙げられます。
データのポータビリティ
GDPRは、データ主体が以前に提供した個人データを、一般的に利用され、機械可読な形式で受け取るための仕組みを企業に提供することを義務付けています。この規定に基づき、データ主体は企業に対し、データを別の処理者に無償で転送するよう要求する権利も有します。
プライバシーバイデザイン
GDPRに準拠する企業は、プライバシー・バイ・デザインの原則に従い、GDPRの要件を満たし、データ主体の権利を保護するために、適切な技術的および組織的措置を効果的に実施する必要があります。具体的には、この規定は、企業が事業の遂行に必要不可欠なデータのみを処理し、個人データへのアクセスを、データ主体が同意したプロセスを完了するために情報を必要とする従業員のみに制限することを意味します。
データ保護責任者
GDPRへの準拠を希望する大企業は、個人データの収集、処理、保管に関する徹底的かつ包括的な記録を保持する必要があります。さらに、これらの企業は、GDPRの適用を監督し、個人データの不正使用、不正アクセス、その他のセキュリティ侵害から保護するために、データ保護責任者(DPO)を任命する必要があります。企業が基準を満たす場合、DPOの任命は必須であり、オプションではありません。
残念ながら、世界中の企業にとって、DPOの選任が義務付けられる具体的な基準は依然として流動的です。EU委員会のこの件に関する文書に基づく一般的な目安としては、従業員数が250人を超える企業、または12ヶ月間で5,000人を超えるデータ主体の個人データを処理する企業にはDPOの選任が義務付けられています。
参照: 採用キット: GDPR データ保護コンプライアンス担当者 (Tech Pro Research)
GDPR違反に対する罰則
GDPRの規定を遵守しなかった場合の罰則は重大であり、あらゆる企業にとって重大な賠償責任リスクを伴う可能性があります。GDPR違反に対する最大制裁金は、企業の年間全世界売上高の4%です。この最大制裁金は、データ処理に関して十分な顧客同意を得ていない組織、またはプライバシー・バイ・デザインのコンセプトに違反した組織に課されます。
その他の違反は、違反の程度に応じて段階的に評価されます。例えば、記録を整備していなかった場合、監督当局とデータ主体にセキュリティ侵害について適時に通知しなかった場合、またはセキュリティ侵害に関する必要な影響評価を実施しなかった場合、企業は2%の罰金を科せられる可能性があります。
追加リソース:
- 1年が経過した現在、GDPRによってデータ保護が強化されたと考える専門家は半数以下(TechRepublic)
- EU組織のうちGDPRに準拠しているのはわずか29%(TechRepublic)
- EU、マイクロソフトとEU機関との契約におけるGDPR違反を調査へ(ZDNet)
- マイクロソフトがGDPR保護を全世界の顧客に拡大、その仕組みはこうだ(TechRepublic)
- 65%の組織が期限までに重要なGDPRコンプライアンスを達成できない(TechRepublic)
- EU一般データ保護規則(GDPR)コンプライアンスチェックリスト(Tech Pro Research)
- Box、GDPR要件への対応を支援する新サービスを導入(ZDNet)
GDPR について詳しく知るにはどうすればいいですか?
読みやすい形式で作成された EU 一般データ保護規則の完全版が利用可能であり、顧客から個人データを収集するすべての企業はその規定をよく理解しておく必要があります。
追加リソース:
- GDPR への準備: IT リーダー向けガイド (Tech Pro Research)
- GDPRコンプライアンスの期限が迫る:今すぐ実行すべき10のこと(TechRepublic)
- GDPR 同意要求フォーム: サンプルテキスト (Tech Pro Research)
- GDPRデータ侵害通知書(Tech Pro Research)
- ビデオ: GDPR の責任を軽減するためのベストプラクティス (TechRepublic)
- GDPRに関する必読記事(FlipboardのTechRepublic)
編集者注:この記事は 2019 年 5 月に最後に更新されました。
