GDPR 対応

MENU

GDPRとは?記事一覧

GDPRは、いつから守らなければいけないの?GDPRは、2018年5月25日から発効となります。正確には、2016年4月14日に欧州議会の最終承認を得ており、2016年5月24日より法律として効力を持っていたのですが、2年間の猶予期限がありました。その猶予期限が終了し、効力が開始するのが、2018年5月25日からというわけです。実質的な施行日である2018年5月25日からは、罰則の適用も開始されま...

GDPRの罰則規定・制裁金(罰金・違反金・課徴金)は?GDPRの罰則規定はとても厳しいんです。違反してしまうと、高い制裁金(罰金)が要求されます。GDPRには、制裁金が軽度の違反の場合と、権利侵害などの違反の2段階で明記されています。一つ目の軽度の方の罰則一つ目の軽度の違反は、データ管理者の義務違反などの場合に適用されます。この場合の制裁金の金額は、1,000万ユーロと全世界年間売上高の最大2%ま...

GDPRの保護対象国は?対象国は、欧州経済領域(EEA:European Economic Area)です。(以下、EEAとします。)EEAというのは、EU加盟国にEFTA(エフタ)のノルウェー、アイルランド、リヒテンシュタインの3か国を含めた合計31か国を指します。ノルウェー国旗アイルランド国旗リヒテンシュタイン国旗ちなみに、EFTA(エフタ)というのは、欧州自由貿易連合(EFTA:Europe...

GDPRではクッキー(cookie)も保護対象なの?GDPRの個人情報の範囲は、とても広いです。GDOR第4条「定義」のところを見てみると、こう記されています。「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、...

EEAの人のデータだけ保護すればいいの?GDPRの保護対象は、単純にEEA内のデータにとどまらないので、要注意です。直接EUの方向けにビジネスを行っている方は、もちろん対策を行わなければならいないのですが、そうでない場合でも、GDPRが適用されるケースがあるので紹介します。EU国民以外が対象になることも!保護対象データは、上記の対象国の国民に限りません。EEA内の所在者の個人データが保護対象となり...

越境データ移転とは?簡単にいうと、EUに所在する個人データを、EU外に持ち出すことです。例えば、EUの人が、EU外にEメールを送る場合、越境データ移転になります。その他、EU外のWEBサイトを利用してホテルや旅行の予約をとる場合も、予約データがEU外に移転しているので、あてはまります。EUの人が、EU外のECサイトで商品を購入する場合も、越境データ移転になります。GDPRでは、「EU域内の個人デー...

十分性認定(adequacy decision)とは?越境データ移転のところでも述べましたが、GDPRでは、「EU域内の個人データのEU域外への移転」を原則として認めません。移転を行うには、十分性認定がされている国、地域であることなどの条件が必要です。十分性認定というのは、十分な個人データ保護をしている国や地域であると保障されているという意味で 欧州委員会が決定します。日本は現時点では認められてい...

SCC(標準契約条項)とBCR(拘束的企業準則)まずは、復習からはじめますね。越境データ移転のところで解説しましたが、GDPRでは、「EU域内の個人データのEU域外への移転」を原則として認めません。EU内での移転は自由ですが、EU域外にデータを移転する場合には、以下の条件を満たす必要があります。移転を行うには、①十分性認定(十分な個人データ保護の保障)(欧州委員会が、データ移転先の国が十分なレベル...

そもそもプロファイリングって?プロファイリングは、「個人データ」を集めてコンピューターで自動的に解析し、個人の性向や属性などを推測・予測する手法のことです。以下のような情報を元に、自分の情報がプロファイリングされた経験がある方も多いのではないでしょうか?①ネット通販の購買履歴②全地球測位システム(GPS)の位置情報例えば、Amazon や楽天などのネット通販では、購入履歴を元に、お勧め商品を自動的...

プロファイリングに異議を唱える権利とは?GDPRでは、このプロファイリングに対して、データの主体である個人の権利も明記されています。第4節に「このプロファイリングに異議を唱える権利」と、「コンピューターによる自動処理のみに基づく“重要な決定”には服さない権利」が記されています。第4 節 異議を唱える権利及び個人に対する自動化された意思決定SECTION 4 RIGHT TO OBJECT AND ...

忘れられる権利とは?GDPRでは「消去権(『忘れられる権利』)」‘right to be forgotten’を明文化したことでも有名です。(第17条)企業の立場になると、GDPRでは、個人に関連する任意のデータを、依頼に応じて“忘れる”ことを義務付けられましたんです。忘れられる権利とは、自己に関わるデータを企業のデータベースなどから消去させる権利のことです。GDPRでは、個人は、企業に対し、自分...

データポータビリティとは?データポータビリティの権利(The right to data portability)は、GDPRで新たに定められた権利のひとつです。簡単に言うと、「個人データを、プラットフォームまたはデータ供給者間で移動させられるようにするための、転送可能なフォーマットが有用提供されことを要求する新しい権利」ということなんですが、全然簡単じゃないですね。新しい概念になるので、理解が難...

コントローラー(Controller)とプロセッサー(Processor)って?コントローラーがデータ管理者、プロセッサーはデータ処理者です。実際に個人データを管理しているのが、管理者。その管理者から基本的に委託されて、作業を行うのが処理者になります。管理者には、処理者(外注受託業者)に対する管理責任があります。GDPRの対策を行う場合、まずは自社の立ち位置が、管理者なのか、処理者なのかはっきりと...

GDPRではオプトアウトはNGになります。オプトアウトとかオプトインという言葉、聞いたことありますか?迷惑メールの話でよく出てくるようになった言葉ですよね。GDPRでは、オプトアウト方式は認められず、オプトイン方式に変更しなければいけません。つまり、利用者に対して、個人情報を取得する際に、個人情報の利用目的をちゃんと伝え、「明示的な同意」を取得した上で個人情報を利用しなければいけません。プロモーシ...

GDPRのガイドラインGDPRのガイドラインは、欧州連合(EU)のWebサイトで確認ができます。Article 29 Working Party http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358もちろん英語です。英語はムリ!という方は、一部ガイドラインはJETROが既に和訳してくれているので、こちらを参照するといいかと思い...

GDPRと改正個人情報保護法の違いは?GDPRと改正個人情報保護法の違いを表にまとめてみました。GDPR改正個人票法保護法施行日・2016年5月24日 (2年間の猶予期間あり)・2018年5月25日から発効(実質的な施行日)・個人情報保護法は、2005年4月施行・2017年5月30日に改正個人情報の定義「個人データ」は、識別されたまたは識別可能な自然人(データ主体)に関するすべての情報を意味する。...

匿名化と仮名化って?国内法(改正個人情報保護法)では、匿名加工情報といった用語が出てきましたが、GDPRには匿名化と、仮名化という二つの用語がでてきます。「匿名」(Anonymous)まず、匿名というのは、個人の特定が不可能とされる状態を指します。そして、GDPRでは、「匿名化データ」は個人データに該当しません。つまり、個人データではないので、GDPRのデータ保護の諸原則は適用されません。自由に処...

GDPRのデータ保護監督機関監督機関(SA:Supervisory Authority)って何?GDPRでは、監督機関は、プライバシーや個人情報保護の状況を監督する、独立した公的機関と定義されています。GDPRの条文を見ていると、例えば以下のように、監督機関への通知が必要な要件があります。・個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72 時間以内...

GDPRでデータ主体に認められた8つの権利とは?GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利の8つです。企業は、これらのEUの人に与えれた個人の権利を尊重していかなければいけません。特に、データ管理者にあたる場合には...

SCCとSDPCの違いは?十分性認定されていない国の場合は、越境データ移転をするために、SCCの締結が必要でしたね。SCCについて調べていると、SDPCという単語も出てきます。SCCとSDPCって、どこが違うの?一体、どっちを締結すればいいの??といった質問に応えますね。SCC標準契約条項(Standard Contractual Clauses: SCC )モデル条項とも呼ばれています。SCCは...

GDPR 情報漏えい時の72時間ルールとは?GDPRでは、個人データ保護の侵害が発生した場合には、それを認識してから72 時間以内に所定の監督機関に通知することが義務づけられています。個人データの侵害とは?個人データの侵害というのは、情報漏えいのイメージが強いかと思いますが、その他、間違ってデータを消去してしまった、書き換えてしまった、といった場合も侵害にあたります。再度入力しなければならないとい...

eプライバシー規則(e-Privacy Regulation)とは?GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。eプライバシー規則は、eプライバシー法と呼ばれたり、クッキー法とも呼ばれています。英語名では「e-Privacy Regulation」。「Regulation on Privacy and Electronic Communications」の略...