ID INFORMATION DEVELOPMENT
お問い合わせ
ソリューション トップ
ITコンサルティング
ITインフラ
アプリケーション開発
セキュリティ製品
セキュリティサービス
AI
IT管理ツール導入
マネージドサービス(運用・保守)
研修サービス
業務改革
DX社の研修サービス
ITIL® 研修,試験
ITIL4ファンデーション ITIL4ファンデーションブリッジ ITIL4スペシャリスト プラクティス認定シリーズ MSF New ITIL4スペシャリスト プラクティス認定シリーズ PIC New ITIL4スペシャリスト プラクティス認定シリーズ CAI ITIL4スペシャリスト CDS ITIL4スペシャリスト DSV ITIL4スペシャリスト HVIT ITIL4ストラテジスト DPI ITIL4リーダー DITS
eラーニング
ITIL4ファンデーション eラーニング
SIAM™ 研修,試験
SIAM™ファンデーション SIAM™プロフェッショナル
DevOps Institute 研修,試験
DevOps Institute DevOps ファンデーション DevOps Institute SRE ファンデーション
AIファンデーション 研修,試験
AIリテラシー教育研修
クラウド コンピューティング ファンデーション 研修,試験
運用基礎研修
ISO/IEC20000 研修,試験
カスタマイズ研修
一社研修のお客様
研修スケジュール
試験バウチャーのみのご購入
再試験のお申し込み(弊社研修を受講された方)
研修会場へのアクセス
導入事例 トップ
サイバーセキュリティ
AI
マネージドサービス(運用・保守)
システム環境構築
業務改革
セミナー
コラム
お役立ち資料ダウンロード
会社情報 トップ
会社概要
社長からのごあいさつ
沿革
経営理念
役員一覧
コーポレートガバナンス
フェロー紹介
電子公告
IDグループ トップ
株式会社IDホールディングス
株式会社 プライド
愛ファクトリー株式会社
ID武漢
IDシンガポール
IDアメリカ
IDヨーロッパ

KNOWLEDGE - COLUMN ナレッジ - コラム

グローバル企業への影響は?欧州で施行された「EU一般データ保護規則(GDPR)」とは

2019-07-11

セキュリティマネジメント ナレッジコラム

コラムイメージ画像

関連するソリューション

セキュリティサービス

セキュリティ製品

日本では個人情報を守るために、個人情報保護法という法律があります。これと同じように、欧州ではデータ保護のための法律「EU一般データ保護規則(GDPR)」があります。
日本の個人情報保護法と相違点もたくさんありますが、情報を保護するための法律という意味では似ています。

本稿では、欧州で施行された「EU一般データ保護規則(GDPR)」とそのグローバル企業への影響についてご紹介いたします。

EU一般データ保護規則(GTPR)とは

EU一般データ保護規則(GDPR)は、General Data Protection Regurationの略で、EU(欧州連合)内のすべての個人のために情報を保護することを目的とした法律で、2016年5月25日から施行されました。
日本でいう個人情報保護法に似ていますが、罰則規定が厳しいのが特徴です。

個人情報保護法の場合、罰則は6ヵ月以下の懲役または30万円以下の罰金ですが、GDPRの場合、企業の全世界売上の4%以下または2,000万ユーロ(約26億円)のいずれか高い方が適用されます。つまり、GDPRに違反すると、最低でも26億円もの罰金を課される可能性があるわけです。

GDPRの目的は大きく3つあります。
まず、個人が自分のデータをコントロールする権利を保証することです。この考え方は日本の個人情報保護法と同じです。

2つめは、EU内の規則を統一することです。それまではEU内でも国ごとに個人情報保護の扱いがまちまちでした。EUをひとつの経済圏として運営するためには、個人情報保護の扱いを統一した方が何かと便利です。

最後に、国際的なビジネスのための規制環境を簡潔にすることです。
GDPRの取り決めは比較的簡単で理解しやすく、国際的に認知されやすい規則となっています。

GDPRで保護対象になる個人データと例

本規則は、データ管理者、または処理者、またはデータの主体がEU内に拠点を置く場合に適用されます。
ここでデータ管理者とは、EU内の居住者からデータを収集する組織のことを指します。 また処理者とは、データ管理者の代行としてデータを処理する組織のことを指します。 またデータの主体とは、EU内の個人のことを指します。
簡単にいうと、データを収集または処理する者、または収集される個人がEU内にいる場合に適用されるわけです。

それでは、EU内に居住する個人のデータをEU外に居する組織が収集または処理する場合、GDPRは適用されるのでしょうか。答えはイエスです。「収集される個人がEU内」なら、そのデータを例えば日本に所在する企業が収集または処理しても、GDPRは適用されます。

そして、GDPRで保護対象となる個人データとは、個人に関するあらゆる情報です。私生活であれ、公的生活であれ、職業であれ、すべて対象となります。たとえば、氏名、住所はもちろんのこと、写真、電子メールアドレス、銀行口座の情報、医療情報、コンピュータのIPアドレス、はてはSNSへの書き込みまで、ありとあらゆる個人に関する情報です。 これは日本の個人情報保護法よりはるかに広い対象範囲です。

GDPRの日本企業への影響と対策が必要になるケース

先ほどご説明したように、GDPRはEU諸国の企業だけに適用されるわけではありません。場合によっては日本に所在する企業にも適用されます。

それでは具体的には、どのような条件を満たした時に日本所在の企業に適用されるのでしょうか。
それは、次のような条件です。

  1. EUに子会社や支店、営業所などを持つ企業
  2. 日本からEUに商品やサービスを提供している企業
  3. EUから個人データの処理について委託を受けている企業

  1. はわかりやすいかと思います。本社が日本にあっても、関連機関がEU圏内にあれば適用されるのは直感的に理解できます。

  2. は少々注意が必要です。EUに商品やサービスを提供しているということは、EU圏内の個人に関する情報を扱っているはずです。従って、GDPRの適用範囲に入ります。

  3. は完全に適用範囲ですが、ここでも注意が必要です。それはGDPRでいう個人データと、日本人の感覚(個人情報保護法)の個人情報に差異がある点です。GDPRでいう個人情報は非常に広範囲に及ぶため、注意しないと日本では保護対象外となっている事柄まで対象となっており、GDPR違反になってしまう恐れがあります。 

欧州向け越境ECサイトとマーケターが覚えておきたいポイント

欧州向けに開設している(または欧州からも利用されている)ECサイトを運営している場合も注意が必要です。
というのも、GDPRは、管理者または処理者が欧州経済圏内で行う処理にも適用される、とされているからです。

つまり、EU圏内にいるユーザのWeb上の行動データを取得している場合も、GDPRが適用されます。
たとえECサイトで(日本でいう)個人情報を収集していなくても、前述の通りIPアドレスやSNSの書き込みまで保護対象になる規約です。当然ながらCookieも保護対象です。ECサイトに限らずメールフォームを通じて個人情報を受け取るサイトを運営している場合にも、GDPRが求める保護措置を取らなければ違反にあたります。

GDPRは適用範囲の広さと罰則の重さが特徴

本稿でご紹介したように、GDPRはとにかく適用範囲が広いことと罰則金が重いことが特徴です。気がつかないうちに自社が罰則対象となっていることのないよう、EU圏に少しでも関わりのある商流を持っている場合は、GDPR対象なのかそうでないのかをしっかりと見極めましょう。




お問い合わせ>



当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン


関連するソリューション

セキュリティサービス

セキュリティ製品

関連するナレッジ・コラム

DX関連コラム

2025-04-24

ナレッジコラム

ITサービス管理の新指標~XLAの可能性とは

2025-03-27

ナレッジコラム ITニュース

「異変」を見逃さない!違和感を察知する能力を強化しよう

2025-01-23

セキュリティマネジメント セキュリティ教育 ITニュース

CATEGORY

カテゴリー

RANKING

人気記事ランキング

  1. 使える!データ収集術「ウェブスクレイピング」を伝授します

    2022/11/10 9:00

  2. 生成AIのトレンド「LLM+RAG」を解説

    2024/2/29 9:00

  3. NuitkaでPythonプログラムを配布してみよう

    2022/12/15 9:00

  4. Waymoが日本進出 ~自動運転の未来と可能性

    2025/1/16 9:00

  5. 今日から使えるLLMのプロンプトテクニック

    2023/12/14 9:00