2018年EUで新たなデータ保護規則GDPRが施行

近年、AmazonやZOZOタウンなどのWebサービスが普及し、生活が便利になりました。一方で、サイバー攻撃や内部の不正による情報漏えいのリスクも高まっています。そういった背景を受けて、2018年にEUで新たなデータ保護規則である「GDPR」が施行されました。
今回はGDPRとはどのような規則なのか紹介します。

GDPRは2018年に施行されたEU域内の個人情報の取り決め！

GDPRとは「General Data Protection Regulation」の略称で、日本語では「一般データ保護規則」と言います。GDPRは欧州連合（EU）内で2018年5月25日から施行された、個人情報の取り扱いの適正化や基本的人権の保護を目的とした規則です。
GDPRを理解するために必要な、4つのポイントを紹介します。

GDPRの対象となる情報

GDPRが適用される情報は、氏名やクレジットカード情報、IPアドレス、写真といった個人情報です。
法人の情報や、完全に暗号化された情報、死者に関する情報は対象外です。

個人情報の管理

個人情報の管理（取得、保管、閲覧、更新、削除など）に関しては、細かな取り決めがあります。
たとえば、個人情報データを取得するときは明確な同意を得ること、保存には適切な安全措置をとること、本人が希望した場合は削除する必要があることなどです。

個人情報の移転

個人情報の移転に関して厳格な取り決めがあります。EU内からEU外への個人情報の移転は原則として禁止されています。
例外的に、欧州委員会によって、適切な個人情報保護制度を有していると認定された国への移転は許されています。しかし、日本は認定を受けていません。
認定を受けていない国へデータを移転する場合には適切な処置を施す必要があります。

次回はGDPRの施行で日本企業に影響はあるのかを紹介します。