TOPセキュリティ > 施行が迫るEU一般データ保護規則、対応はいかに(中)

セキュリティ

施行が迫るEU一般データ保護規則、対応はいかに(中)

2018/05/09

Thor Olavsrud CIO

 欧州連合(EU)の一般データ保護規則(GDPR:General Data Protection Regulation)は、2018年5月25日に施行となる。皆さんの会社は、GDPRへの準備が整っているだろうか。

前回から続く)

幅広い企業がGDPRの対象に

 まだGDPR遵守プログラムを導入していない企業は、自社がGDPRの適用対象なのかどうかを検討する必要がある。EU域内に事業拠点を置いていないからといって、GDPRが無関係とは限らない。GDPRの対象はEU市民の個人データだ。そうしたデータを扱う企業は、GDPRを遵守する義務がある。例えば、米国内のホテルが、EU域内に住む宿泊者の情報を保持する場合にも、GDPRが適用される。

 「EU域内在住者の個人データを保持しているのであれば、世界中のあらゆる企業にGDPRが適用され得る」と、IT技術者のコミュニティを運営する米Spiceworksのシニアテクノロジーアナリスト、Peter Tsai氏は言う。「欧州域内での事業、あるいは欧州市民に関する事業を手がけている企業は、その事業内容が何であれ、GDPRにしっかり注意を払う必要がある。まだ準備を始めていない企業であればなおさらだ。この話題について知らされていないという理由で、対応が手つかずになっている企業がたくさんある」

 ISFの「GDPR Implementation Guide」によると、次のような企業や団体はいずれもGDPRが適用される。

  • EU域内に拠点を置く企業や団体

  • EU域外に拠点を置くが、EU域内のデータ主体を商品やサービスのターゲットにしている企業や団体

  • EU域外に拠点を置くが、EU域内の個人の行動を把握あるいは追跡している企業や団体

↑ページ先頭へ