GDPRとはEU居住者の個人情報を保護するために制定され、過去20年間の情報保護に関するもので最も重要です。主な目的は、EU居住者の個人情報の管理と統制です。EU域内で規則を統一することにより、規則を簡易化する目的もあります。
対象企業
GDPRはEU域内の個人情報を取得、処理、保存するすべての企業が対象となるため、所在地がEU域外でも対象に含まれます。
個人情報とは
個人情報とは直接的、もしくは間接的に個人を特定することができる情報です。例えば、名前、顔写真、メールアドレス、銀行についての詳細、ソーシャルネットワーキングへの投稿、医療関係の情報やパソコンのIPアドレスなどがあります。
規則の変更
先の項目に該当する対象企業は、個人情報の管理に関する明確な資料と規則を提示することが求められています。例えば、どこに個人情報が保管され、どのように使われ、誰がその情報にアクセスができ、どのように保護されているかなどです。しかしながら、多くの企業ではGDPR遵守に対応できる環境が整っていません。以下の項目が要求されます。
データ侵害
企業はデータ侵害があった場合、特定のプロセスに従い、72時間以内に影響のある全ての個人に通知する義務があります。データ侵害の確認、通知のための過程の書類作成、データ保護の修復、そして管理の最新化に対する迅速な対応のためのプランがあることが求められます。
アクセス権限
GDPRにより、プライバシーの管理は各個人がよりコントロールできるようになります。各個人は個人情報が企業によりどのように管理され、どこでどういう目的で使用されたかを知る権利があります。要求に応じて、企業は一か月以内に明確な回答と情報を提供する必要があります。
プライバシーの保護
プライバシー保護はGDPRによって確保されます。企業は必要最低限の個人情報の収集と保管をすることが要求されます。
データ削除
個人は企業に対し、個人情報の削除とデータ拡散の停止を要求することができます。要求に対し、企業は明確な説明を提示する義務があります。
仮名化・匿名化
個人情報が特定されるのを保護するために、仮名化・匿名化が必要となります。
まとめ - 下記の準備ができているかを確認してください。
- データ源の概要が文書化できているか
- データ保護のプロセス環境が整っているか
- 必要な書類と証拠が整っているか
- 要求があれば、個人データを全て消すことができるか
- プライバシーの保護が確保されているか
罰金、制裁金
GDPRに違反した場合は高い制裁金が求められます。年間の総売上の4%と20Mユーロのいずれか高い方を上限とする罰金が科せられます。個人データ侵害ではこれよりも低い罰金になります。例えば、72時間以内の個人データ侵害の通知義務に違反した場合、全世界総売上高の2%もしくは10Mユーロのどちらかが科せられます。しかし、制裁金よりも、企業のイメージダウンの影響の方が心配です。GDPRの遵守はとても重要です。
対応する準備はできていますか。
ご質問等がある場合には、ルイス・雅子(Masako.Lewis@plantemoran.com、(248) 375-7244)までご連絡下さい。
