GDPR(EU一般データ保護規則)は、欧州議会、欧州理事会、欧州委員会が策定した個人情報保護に関する規則です。パーソナルデータを個人に取り戻す運動が広がる中、世界に先駆けて2018年5月に施行されました。GDPRの概要や特徴を解説しながら、情報銀行との関係性についてみていきます。
GDPR(EU一般データ保護規則)とは
GDPR(EU一般データ保護規則)は、General Data Protection Regulationの略です。欧州議会、欧州理事会、欧州委員会が策定した個人情報保護に関する”規則”であり、2016年4月に採択され、2018年5月に施行されました。これまでEUでは、個人情報保護に関するデータ保護”指令”が策定されていましたが、”指令”はそれ自体が執行力を持つものではありません。簡単に言えば、加盟国に対し指令に関する目的を達成することを求めるものの、その方法までは定めていない法の形態です。つまり、加盟国ごとに裁量を持って法令を採択することができます。対してGDPRは”規則”であり、加盟国の法規則として適用がされます。加盟国内の国内法よりも優先されるものとなり、その後法令を定める場合も”規則”に適合したものでなければなりません。EUにはさまざまな法形態がありますが、規則は最も強力な形態の一つです。
GDPRが策定された背景
現在、私たちのパーソナルデータ(インターネットにおける閲覧履歴、購買履歴、位置情報など)は、GAFAに代表されるIT企業が占有しているといっても過言ではありません。しかし、Facebookの個人情報流出に代表されるように、問題も頻発しています。パーソナルデータの利活用については、本人の同意を取っているものの、本人の意識が十分でないケースも多くギャップが生じている状況です。
こうした背景から、自分自身でパーソナルデータをコントロールできる権利を取り戻そうという動きが活発化し始め、GDPRは策定されました。
また、指令ではEU加盟国間の法令がバラバラになってしまい、EU全域でビジネス展開する企業にとっては大きな負担が掛かってしまいます。規則であれば、加盟国全てに適用されますので、上記以外のビジネス的な背景も当然あるでしょう。
GDPRの内容や主なポイント
GDPRが適用される範囲
GDPRは、データ管理者(EU居住者からデータを収集する組織)、処理者(データ管理者の代理としてデータを処理する組織)または、データの主体(個人)がEU域内に拠点をおく場合に適用されます。また、EU域内に拠点がなくてもEU居住者のデータを収集・処理する場合は、EU域外の組織も適用対象となります。
GDPRの個人情報の位置づけ
GDPRは個人情報保護に関する規則になりますが、どこまでが個人情報にあたるのかということです。基本的には個人を識別できる名前、識別番号、住所、クレジット番号などになりますが、GDPRではIPアドレスやCookieなどのオンライン識別子も対象となっています。
主なポイント
以下が主なポイントになります。
- 組織が個人情報を取得する際には、収集や処理の目的、第三者提供の有無、期間などを明記して同意を得なければならない
- 大量の個人情報を扱う組織はデータ保護責任者を任命する必要
- 個人情報を漏洩した場合は監督機関に72時間以内に報告
組織目線でのポイント以外に、GDPRでは個人が組織に対しデータ提供を要求できる権利や削除を要請できる権利を認めています。これをデータポータビリティー権といいます。
罰則
定期的なデータ保護監査などに加え、組織がGDPRに違反した場合、最大で2,000万ユーロもしくは前会計期間の全世界の売上高の4%の高い方の過料を支払う必要があります。
GDPRと情報銀行
GDPRは、個人にパーソナルデータをコントロールできる権利を取り戻すことを大きな目的として、データポータビリティー権を認めています。つまり普及しているかはさておき、欧州では個人がデータ管理や活用を自分自身で行うのが基本と言えます。対する日本の個人情報保護法もデータを開示請求する権利は認めています。ただ、手続きが非常に煩雑などの理由もあり、請求したことがある方はごく少数でしょうし、さらに活用となると全く進んでいません。
日本の情報銀行は、パーソナルデータの管理はもちろんのこと、適切な活用を推進することを大きな目的としています。さまざまなサービス間でバラバラになっているパーソナルデータを個人の意思に基づき情報銀行が集約・管理し、第三者が情報銀行を通じて活用することは社会にとって大きなメリットをもたらす可能性があります。日本は海外よりも銀行への信頼度が高いと言われますが、パーソナルデータに関しても銀行のような組織にある程度任せる形が合っており、普及する可能性が高いことが情報銀行の制度が作られた背景と言われています。
当然、日本においても欧州と同様に、個人でPDSなどを利用し、自分自身でパーソナルデータを管理・活用することは可能ですが、情報銀行に預託することもでき、より選択肢が多いと言えるかもしれません。