EU一般データ保護規則GDPR 個人情報を守る法律

2018 年 5 月 25 日から施行される「EU 一般データ保護規則 ( GDPR)」。　企業やショップにだけではなく、私たち欧州・ドイツに住む個人にも深く関係してくる GDPR について、出来るだけわかりやすくまとめてみました。

注意：当記事はNIPPONip vol.48号の特集から一部を抜粋しています。　特集記事内容は2018年4月末の時点での情報になります。企業に関するGDPRについて：ドイツビジネス情報ブログ
NIPPONip本誌内記事監修：渥美坂井ヤンセン弁護士法人　NIPPONip本誌内DPOに関する記事協力：Enobyte GmbH

GDPR とは、個人情報を守るための法律です

GDPR には全部で 99 条にわたる条文が定められています。　簡単に言うと、欧州経済領域 (EEA) に在住する個人の情報を守る法律です。　一般の人にとっては自分たちのプライバシーや個人情報が守られるための法律です。

個人＝データ主体の持つ権利

守られるべき個人情報は、GDPRでは、「個人データ」として規定されています。　「個人データ」とは、識別された、又は識別され得る自然人に関するすべての情報です。

個人データに関連する自然人は「データ主体」と呼ばれ、いろいろな権利が認められています。　データ主体の持つ権利は８つあり、

情報の通知を受ける
アクセスする
訂正する
忘れられる
処理を制限する
データポータビリティ
（（自分の）情報の処理方法に）異議を唱える
自動処理による重要な決定の対象にならない

これまでと比較して、新しく重要とされる権利の一つが、「忘れられる権利」です。

簡単に言うと、料金の負担もなく、自分の個人データを消去するようにデータ管理者に要求できる権利です。　データ管理者はそれを保持する正当な根拠がない限り、不当な遅滞なく全ての個人データ(コンピューターの中のデータ、データベース、それらのコピーデータ、バックアップデータ、移動したコピーデータなど全て)を消去する義務があります。　その処理方法もデータ主体から要求されれば、「きちんとデータが消去された」と証明可能な方法で提示しなければいけません。
これまでは「個人データを収集する側」がその処理に関しての主導権を持っていたとも言えますが、これからはある側面では「個人」にその主導権が移ったとも言えることが GDPR の大きな特徴の一つです。

また AI 技術の発達により、「自動処理やプロファイリング等で、個人について重要な事柄を決定されない様にする権利」が注目されるようになりました。IT 技術・インターネットの発達で、「個人データ」は世界各国を移動し、収集されうることとなったため「個人データの移転」も規制することとなりました。これにより、個人データは移転された先でも守られることになりました。

ブログ版の補足情報として、8.の自動処理による重要な決定の対象にならない、とは、例えばとあるサイトの心理テストの質問にいくつか答えます。　心理テストの結果を見るために質問に答えたため、「心理テストの結果」はデータ主体（個人）の同意のもとで行われています。

ただし、その答えた結果や、それまでのサイト内での閲覧記録、他のテストへの返答などを自動処理で「この人（識別番号の持ち主）は●×△な人！」というようにプロファイリングすることや、心理テストに答えた人たちの統計を取って、別の目的でプロファイリングすることはGDPRに違反しているということになります。

この様に、GDPR とは「EEA 在住個人のデータを守るための法律」であると考えてはどうでしょう。　インターネット環境が浸透し、プライバシーが侵害されるリスクの高いこの時代に相応しい法が施行される、と思えるのではないでしょうか ?

GDPRの基本的な流れ

データ主体の同意の上で個人データは利用・管理されます。　情報を入手して管理する人は「情報管理者（Controller）」です。　その個人データを契約の上で処理・削除・移転する人は「情報処理者（Processor）」です。

ドイツに住んでいる私たちに馴染み深い例で考えてみましょう。　例えば、運転免許の書類の翻訳を直接個人の翻訳者に依頼する場合、情報管理者は翻訳者になります。　会社を通じて書類の翻訳を依頼する場合、会社が情報管理者、依頼された翻訳者が情報処理者になります。

また表に出てくる「データ保護責任者（DPO）」は各企業や店舗にとって必ずしも必要ではありません。　（ドイツの場合は）10人以下の従業員の場合などはDPOは不要となります。　そのため、DPOの居ない企業や店舗などに個人データについての問い合わせをする際には、情報管理者に直接問い合わせます。

当記事はNIPPONip vol.48号の特集から一部を抜粋しています。　特集記事内容は2018年4月末の時点での情報になります。

企業に関するGDPRについての記事はこちらのリンクから　→ ドイツビジネス情報ブログ

NIPPONip本誌内記事監修：渥美坂井ヤンセン弁護士法人は、フランクフルト、東京、ロンドンのオフィスにて、合計で130名を超える弁護士が協働して、日本語、ドイツ語、英語にてGDPR対応を含む幅広い企業法務についてリーガルサービスを提供しています。

NIPPONip本誌内DPOに関する記事協力：Enobyteは、長年のIT分野での経験に加え、公認データ保護責任者(DPO)によるコンサルティングを通して、今や多くの日本企業のGDPR対応をサポートしています。

参照：EUR-Lex – Europa EU , European Commission, JETRO「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）(実務編）

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

最新記事

ランキングにも参加中