2018年8月号
購読申込み のあとに ログイン していただくと全文をご覧いただけます。

欧州一般データ保護規則(GDPR)対策

欧州一般データ保護規則「GDPR」 規制の背景にある欧州の思想

アンドリュー・アレクサンダー・アダムス(明治大学ビジネス情報倫理研究所 副所長)

1
​ ​ ​

欧州一般データ保護規則(GDPR)が2018年5月に施行され、高額な制裁金などが国内の注目を集めた。GDPRは、欧州における20年以上にわたる個人の権利保護に関する議論の結果だ。国内企業においては、GDPR対応を検討するのはもちろん、情報漏洩対策も重要になる。

アンドリュー・アレクサンダー・アダムス(明治大学ビジネス情報倫理研究所副所長、同大学非常勤講師)

2018年5月25日に施行された、欧州一般データ保護規則(GDPR)。広い適用範囲や高額の制裁金に注目が集まっているが、GDPRに適切に対応するためには、制定の背景にある理念を知っておく必要がある。情報セキュリティの研究者で、GDPRの検討状況を見てきた明治大学ビジネス倫理研究所副所長のアンドリュー・アレクサンダー・アダムス氏に話を聞いた。

EEA域内の統一規制

GDPRは、「個人データ」(定義の詳細は後述)の処理と、欧州経済領域(EEA、EU加盟国にノルウェー、リヒテンシュタイン、アイスランドを加えた31カ国)からその域外に個人データを移転する際の法的なルールを規定している。国内事業者が、GDPRへの対応を考える必要があるかのチェックシートを下にまとめた。

GDPRへの対応は、自社のビジネスに必要な情報のみを個人から受け取る場合にはそれほど難しいものではない。ただし、特に必要ないデータを大量に集める、個人データを売買するといった場合には、GDPRの規制に従う社内体制の整備などが必要になる。

どうしてこのような仕組みになっているのか。その背景には、インターネットの一般化と、SNSの台頭がある。GDPRのもとになったのは、1995年に作られたEUデータ保護指令(DPD)。 1990年代には、個人と、その個人のデータを扱う企業はほぼ1対1の関係にあった。例えば、求職者が履歴書を企業に提出する場合などだ。

しかし現在は、インターネットで暇つぶしをするだけで、位置情報からサイトの閲覧履歴、いいね!の傾向まで、様々な情報が数多くの企業に送られる。GDPRは「個人に決定権を持たせる」というDPDの基本理念を受け継いでいるものの、適用範囲は拡大し、個人の権利を強化し、さらに制裁とその執行を厳格化している。

残り66%

1
​ ​ ​

バックナンバー

メルマガで記事を受け取る

メルマガ会員限定で、
ピックアップしたオンライン記事を
毎日お届けします。

以下でメルマガの登録ができます。

社風が変わる、イノベーターが育つ

地方創生・イノベーションにつながるアイデアと思考に注目!

志高い、ビジネスパーソン・行政・NPO職員・起業家が理想の事業を構想し、それを実現していくのに役立つ情報を提供する、実践的メディア。

最新情報をチェック。

バックナンバー検索

注目のバックナンバーはこちら

会員になると 最新「事業構想」が読み放題。さらに

会員の特典をもっとみる