2018年5月中旬ごろから、サービス利用登録やメールマガジン購読を行ったサイトなどから、利用規約やプライバシーポリシーの改定についての通知メールをたくさん受け取った印象をお持ちの方がいるのではないでしょうか。これは、2018年5月25日にEU(欧州連合)で施行された一般データ保護規則(General Data Protection Regulation:GDPR)の影響の一つといえるでしょう。

 GDPRは、企業などにこれまで以上に厳格に個人データを取り扱うことを求めています。違反した場合の制裁金が最大で「2000万ユーロ(約25億円)」もしくは「前会計年度の全世界年間売上高の4%」のいずれか高い方という巨額であることもあいまって、大きな注目を集めています。

 既に欧米を中心に多くのグローバル企業がGDPRへの対応を急ピッチで進めているのはご存知のことと思います。Los Angeles Times(ロサンゼルス・タイムズ)などのようにEU管内からのサイトへのアクセスを一時的に遮断するという対応を取ったところもあります 1

 日本国内でのGDPRの取り上げ方は、制裁金の大きさや個人データのEU域外への移転に関する規制に焦点を当てたものが多いように感じます。その一方で、GDPRの本質の一つである「個人データの収集・管理・利用に関する様々な規制の厳格化」について詳しく触れているものは、まだ少ない印象を受けました。

 そこで本稿では、個人データの収集・管理・利用に関するGDPRの要求について解説することにしました。さらにそれらを実現するうえで考慮すべきビジネス上の論点を取り上げ、求められるシステムについて考えます。

GDPRが求める「個人データに対する権利の擁護」とは

 消費者など「データ主体」(Data Subject)の個人データに対する権利を擁護するために、GDPRは企業などの「データ管理者」(Data Controller)や「データ処理者」(Data Processor)に対し、組織面・技術面を含めた様々な要求を課しています。その根本に流れる思想は、「消費者が本来保有している自身の個人データに対する主権を回復させること」にあるといえるでしょう。その思想は、GDPRの以下の要求で体現されています。

  • 個人データの収集・利用に際しての、データ主体からの明示的な「同意」(Consent)の取得と管理(Article 7など)
  • データ管理者が収集している個人データに対するデータ主体による制御権の保障(Article 15, 16, 17, 18, 19, 20など)

 これら課題への要求は、消費者の側からも大きなものとなりつつあります。2018年春に明らかになった、Facebookのユーザー約8700万人以上の個人データを不正に取得・使用したとされる「ケンブリッジ・アナリティカ」事件は、その一つの転機になりました。


1. LA Times takes down website in Europe as privacy rules bite
http://money.cnn.com/2018/05/25/media/gdpr-news-websites-la-times-tronc/index.html


この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。