【コラム】情報セキュリティトピックス/GDPRの動向と最近の事情(2)

1.GDPRの動向と最近の事情(2)

 前回に続き、今回の「情報セキュリティトピックス」は、GDPR(General Data Protection Regulation)のあらましや最近の事情について整理していきたいと思います。
 GDPR(一般データ保護規則)は、個人の権利保護、EUデジタル市場の保護・育成のための規制強化とともに個人データの越境移転のルールを統一したものです。保護対象はEU加盟28カ国及びアイスランド、ノルウェー、リヒテンシュタインの3カ国を含む欧州経済領域(European Economic Area : EEA)に所在する全ての個人データで、域外への持ち出しに関する厳格な規制が敷かれ、在EEA法人にとどまらず世界の全ての法人に準拠義務があります。EEA域内の個人データを処理しているのは、何も欧州の人々を相手に直接サービスを提供する宿泊・観光や運輸、ECなどの企業、現地に子会社や工場を持つグローバル企業だけではありません。
 デジタル広告、IoT家電、次世代自動車のコネクテッドカー、建設機械のトラッキングシステム、利用者の位置情報を利用する「ポケモンGO」をはじめとするオンラインゲームなど、個人のオンライン上の行動を「監視」することを前提としたサービスで、商売が成り立っている企業は枚挙に暇がありません。およそ現代において、GDPRの適用を完全に免れ得る企業はそう少ないとは言えません。
 GDPRの第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることにあります。GDPRの発効によって、1995年以来のデータ保護指令(Directive 95/46/EC)は置き換えられることになりました。
 日本語だと「規則(Regulation)」と「指令(Directive)」の違いがピンときませんが、EU法では明確な定義があり、Regulationは国内法に優先して加盟国の政府や企業、個人へ直接適用される、最上位の法令です。Directiveとして制定されたECデータ保護指令は、加盟国政府に対する法的拘束力と政策目標達成のための措置の要求にとどまり、国内法や措置内容は各国の判断に委ねられるため、域内でも国ごとに異なる法律への対応が必要で、あらゆる海外法人の拠点が加盟28カ国ごとに個別対応の負担を迫られてきたという経緯がありました。


 

続きはこちらから

ニュース

公式ツイッター

SPクラブメンバーズサイト