GDPR 改正個人情報保護法 違い

MENU

GDPRと改正個人情報保護法の違いは?

 

GDPRと改正個人情報保護法の違いを表にまとめてみました。

 

  GDPR 改正個人票法保護法
施行日

・2016年5月24日 (2年間の猶予期間あり)
・2018年5月25日から発効(実質的な施行日)

・個人情報保護法は、2005年4月施行
・2017年5月30日に改正

個人情報の定義

「個人データ」は、識別されたまたは識別可能な自然人(データ主体)に関するすべての情報を意味する。
識別可能な自然人とは、特に、識別子(名前、識別番号、位置データ、オンライン識別子といったもの)を参照するか、または当該自然人の一意性(身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的なもの)に固有な1つ以上の指標を参照することで、直接的または間接的に、識別ができる者をいう。
(GDPR第4条 1項)
-------------------------------------
以下が個人データになります。
①氏名
②個人識別番号、
③位置情報
④オンライン識別子
⑤当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的アイデンティティに特有の要素
※国内法では明記されていない、オンライン識別子(IPアドレスやCookie、RFIDなど)も含まれています。
 また、照合しないと個人が特定できないようなもの(IDなど)も対象となるので注意が必要です。
 履歴データも、個人名が含まれない場合でも個人情報に該当します。

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(第2条1項)
-------------------------------------
国内法でいう、個人を識別することができるものは、以下のような情報を指します。
・顔画像データ
・認証用指紋データ
・個人番号(マイナンバー)
・運転免許証番号
・パスポート番号
・基礎年金番号
・保険証番号
特定の個人の身体的特徴を変換したもの(例:顔認識データ)等が、個人情報として明確化されました。

要配慮個人情報

人種若しくは民族的素性、政治的思想、宗教的若しくは哲学的信条、又は労働組合員資格に関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータの取扱いは禁止する。
(GDPR第9条)
---------------------------------
センシティブデータは、データ主体が明示的な同意を与えた場合など以外は、原則として取扱いが禁止されています。

本人に対する不当な差別又は偏見が生じないように人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止。
(改正法第2条3項)
---------------------------------
改正法では、個人情報のうち本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに配慮を要するものを新たに「要配慮個人情報」として定めました。
「人種」「信条」「社会的身分」「病歴」「犯罪の経歴」「犯罪により害を被った事実」などがこれにあたります。

匿名化

仮名化

匿名加工情報

・匿名化
データ主体がもはや識別可能でない仕方で匿名化されたデータには、データ保護の諸原則は、適用されるべきではない
(GDPR前文26条)

 

・仮名化
「仮名化」とは、追加情報を使用せずに個人データを特定のデータ対象に帰属させることができないような方法で個人データを処理することを意味する。ただし、当該追加の情報が別個に保管され、個人データが特定のまたは特定可能な自然人に連結しないことを確保する技術的および組織的な措置が講じられることを条件とする
(GDPR第4条)
-------------------------------------
匿名化されたデータに関しては、個人データに該当しません。
仮名化データ(暗号化データなど)は、個人データになります。
個人情報を加工しても、復元する方法があれば、匿名化とはいえません。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
(改正法第2条9項)
-------------------------------------
改正法で、「匿名加工情報」という概念が創設されました。
★匿名加工情報:もともと個人情報であるデータを誰の情報か分からないように加工するとともに、個人情報として復元できないようにした情報。
匿名加工情報は個人情報には該当しないので、本人の同意なしで第三者提供が可能です。ですから、企業は匿名加工情報をもとに、ビッグデータの利活用に向けた取り組みを促進することができるようになりました。

適用範囲

域外適用

本規則は、EU 域内に拠点のない管理者又は取扱者によるEU 在住のデータ主体の個人データの取扱いに適用される。
(a) EU 在住のデータ主体に対する商品又はサービスの提供に関する取扱い。この場合、データ主体に支払が要求されるか否かについては問わない。
(b) EU 域内で行われるデータ主体の行動の監視に関する取扱い。
(GDPR第3条)
-------------------------------------
EU内に拠点を有する企業だけでなく、以下のような場合にも適用されるので、適用範囲が広いです。
・EU内の個人に対して商品やサービスを提供しているEU外の企業(有償・無償を問わない)
・またはEU内における個人の行動の監視(モニタリング)を行っているEU外の企業

・国境を越えた適用と外国執行当局への情報提供 
日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則
適用。また、執行に際して外国執行当局への情報提供を可能とする。
(改正法第75条、第78条)

 

・外国事業者への第三者提供
個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人
同意により外国への第三者提供が可能。
(改正法第24条)
-------------------------------------
改正法で、国境を越えて個人データをやりとりする上での規制が新たに定められました。

罰金

制裁金

制裁金の金額は、2,000万ユーロと全世界年間売上高の最大4%まで、のいずれか大きい方を上限とする。
(GDPR第83条 5項)

自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。
(第83条)

データポータビリティの権利
○ 第20条

× なし

プライバシー・バイ・デザインの導入
○ 第25条

× なし

データ保護影響評価(DPIA)の実施
○ 第35条

× なし

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。