GDPRとは何か | データ保護とプライバシー

GDPRはEUの規則ですが、世界中の国々に影響を与えています。この法律を理解し適応することで、企業は罰則を受けることを避けることができます。

簡単に言うと、GDPRとは何ですか？一般データ保護規則（GDPR）は、EUで市民のプライバシーとデータを保護するために制定された法律です。この規則は、組織の所在地に関係なく、EUでビジネスを行うすべての組織に影響を与えます。

GDPRとは何か、そして消費者をどのように保護するのか？

一般データ保護規則は、デジタル消費者を詐欺や嫌がらせから保護し、個人情報に対するより多くのコントロールを提供することを目的として、欧州連合によって制定された包括的なプライバシーおよびサイバーセキュリティ法です。2016年に実施され、2018年に包括的な法律として施行されたGDPRは、厳格なデータ管理、プライバシー、およびセキュリティ規則を、非営利団体やデジタル情報をマーケティングに使用する公共団体を含む、EUでビジネスを行うすべての組織に対する比較的厳しい罰則と組み合わせています。

GDPRは何をするのか？

GDPRは基本的に、消費者と企業の権利、組織が消費者情報を管理および使用する際の運用範囲、そして消費者が個人情報の所有権を行使する方法を法典化しています。この法律は、「データ主体の権利」として知られるいくつかの異なる管轄領域を通じてこれを達成します。

規則の下では、「データ主体」とは、マーケティング、ビジネス処理、またはその他の企業活動で使用される可能性のある情報を持つ個人を指します。GDPRの下では、データ主体はその情報の完全かつ最終的な所有者であり、そのため、アメリカ合衆国のような他の管轄区域よりもその情報に対する権限がはるかに広範です。

これらの権利のいくつかは以下の通りです：

• 消去の権利: データ主体は、いつでも、どのような理由でも、組織が保持する情報の削除を要求することができます。この行動は30日以内に行われなければなりません。
• 個人データへのアクセス権: いつでも、どのような理由でも、消費者は組織が収集した情報へのアクセスを要求し、受け取ることができます。この情報は45日以内に引き渡されなければなりません。
• 訂正の権利: いつでも、どのような理由でも、消費者は組織に対して情報の誤りを変更または修正するよう要求することができます。
• データ処理の制限権: データ主体は、デジタル情報を使用した特定の種類の処理の停止を要求することができます。
• 異議申し立ての権利: この権利は、データ主体が処理の制限を拒否する組織に対して異議を申し立てることを可能にします。
• データポータビリティの権利: データ主体は、個人データを第三者に送信するよう要求することができます。
• 通知を受ける権利: データ主体は、個人情報の使用方法と、この情報に関する問題に対処するための手順について通知を受ける必要があります。これには、個人的な要求以外で行われた消去や変更の通知が含まれます。
• 自動個別意思決定の拒否権: データ主体は、自動マーケティングや意思決定の目的で個人情報の自動処理を拒否することができます。

さらに、GDPRはデータ主体の同意とオプトインを要求します。他の国とは異なり、EUのビジネスは無作為に未承諾の資料を送信したり、消費者情報を要求したり、使用したりすることはできません。代わりに、同意が最初に必要です。つまり、消費者はマーケティングやコミュニケーションにオプトインしなければなりません。

さらに、この種の同意には、要求の正確な理由と情報の使用目的の説明が含まれていなければなりません。それは「自由に与えられ、具体的で、情報に基づき、明確でなければならない」とされています。

GDPRの下で個人データと見なされるものは何ですか？

EU GDPRの下で個人データとは、特定されたまたは特定可能な自然人に関連する情報を指します。これには、名前、住所、ID番号、写真、位置データ、IPアドレスやクッキーなどのオンライン識別子が含まれます。生体データや遺伝データも個人データと見なされます。他の個人データには以下が含まれますが、これに限定されません：

• 健康および遺伝データ
• 生体データ
• 人種または民族データ
• 政治的意見
• 性的指向
• 宗教的信念
• 労働組合の会員資格

企業は、個人データを収集および管理する際に、誤用や不正アクセスから保護するために細心の注意を払う必要があります。

誰がGDPRに準拠しなければならないのか？

EU市民のデータを処理するすべての企業、組織、および個人は、一般データ保護規則（GDPR）に準拠しなければなりません。これには、EU市民のデータを収集、保存、または使用するすべての企業、組織、または個人が含まれ、データがどこで処理または保存されているかに関係なく適用されます。

私のGDPRの権利は何ですか？

一般データ保護規則（GDPR）の下で、EU市民は個人データの収集および処理に関していくつかの権利を持っています。これらの権利には以下が含まれます：

1. データ収集および処理についての情報を受ける権利
2. 個人データへのアクセス権
3. 不正確または不完全なデータの訂正権
4. 消去の権利または「忘れられる権利」
5. 個人データの処理の制限または異議申し立ての権利
6. データポータビリティの権利
7. 自動意思決定およびプロファイリングに対する異議申し立ての権利
8. 監督機関に苦情を申し立てる権利

GDPRの同意要件は何ですか？

GDPRの同意要件は、個人がデータの使用方法を知る権利を提供し、企業が顧客の個人データを適切に保護するための実践的な枠組みを提供します。同意は自由に与えられ、具体的で、情報に基づき、明確でなければなりません。これは、同意が明確で平易な言葉で表現され、沈黙や無活動から推測されてはならないことを意味します。

同意は他の利用規約や条件とは別の声明で与えられ、簡単にアクセスできる形式で提示されなければなりません。個人はいつでも同意を撤回することができ、同意を撤回するプロセスは初回の同意を与えるプロセスと同じくらい簡単でなければなりません。

GDPRの重要な条項は何ですか？

これらの権利はGDPR規則の条項に組み込まれています。異なる要件が異なる実践（セキュリティ、マーケティングなど）に適用されるため、企業は他の条項よりもいくつかの条項を理解するのに多くの時間を費やすことになるでしょう。

より重要で広範な条項のいくつかは以下の通りです：

• 第6条 – 処理の合法性: この条項は、処理に関する規則とそのプロセスにおけるデータ主体の権利を概説しています。これには、収集に対する消費者の同意の方法と時期、組織が同意を文書化する方法、処理が安全であり、その情報のプライバシーを維持し、提供された同意と合理的なビジネス使用の明確に定義された境界内でのみ運用されることを保証するために組織が取るべきステップが含まれます。
• 第15条 – データ主体によるアクセス権: この条項は、データ主体が組織から自分のデータをすべて取得する権利を持っていることを述べており、そのデータがどのように使用されているか、または将来組織がどのように使用する可能性があるかについての追加情報も含まれます。
• 第16条 – 訂正の権利: データ主体は、誤っていると判断した情報を自動システムを通じて、または組織との連絡を通じて変更または更新する権利を持っています。
• 第17条 – 消去の権利: この条項は、組織が消去要求にどのように対応しなければならないかを詳述しており、消去の文脈や状況（同意の撤回、処理への異議、不法な処理、法的要件、または継続的なビジネスニーズの欠如）を含みます。
• 第18条 – 処理の制限権: この条項は、データ主体が組織による情報の処理を管理し、異議を申し立てる方法を定義しています。これらの理由には、修正が必要な誤った情報、提供された同意の境界内でのデータ処理のさらなる必要性の欠如、または潜在的に不法な処理操作が含まれます。
• 第20条 – データポータビリティの権利: この条項は、データ主体が情報を第三者に送信する権利を強調しており、それが実行可能である限りです。
• 第21条 – 異議申し立ての権利: データ主体が情報の使用または処理に対して異議を申し立てる能力を定義しており、公共の利益に資するような文脈を除きます。
• 第28条 – プロセッサー: この条項は、ユーザー情報を処理するすべての組織が従わなければならない特定の法的および技術的要件を詳述しています。これには、同意の収集と文書化、明示的に述べられた目的のためにのみデータを使用すること、ユーザーの同意なしに消費者情報を第三者に販売しないことが含まれます。

組織が実施しなければならない特定の事項を概説する他の小さなサブセクションもあります。これには、規則に従ってデータ保護責任者（DPO）の役職を任命し維持すること、同意フォームに対する意味のある免責事項を提供すること、そして侵害が発見された際に速やかに監督当局に報告する義務が含まれます。

GDPRの技術的要件は何ですか

1. 個人データの処理者は、適切な場合には個人データの暗号化を含む、個人データの適切なセキュリティを確保しなければなりません。
2. 組織は、個人データが必要な場合にのみ処理され、データ主体のアクセス、訂正、消去の権利に従って処理されることを保証しなければなりません。
3. 組織は、個人データの処理に関する明確で簡潔な情報をデータ主体に提供しなければなりません。
4. 組織は、彼らが行ったすべての個人データ処理活動の記録を維持しなければなりません。
5. 組織は、個人データの処理に対してデータ主体から事前の同意を得なければなりません。
6. 組織は、GDPR規則の実施と遵守を監視するためにデータ保護責任者（DPO）を任命しなければなりません。
7. 組織は、潜在的なデータ保護リスクを特定し軽減するために、定期的なデータ保護影響評価（DPIA）を実施しなければなりません。
8. 組織は、データ主体に処理に対する異議申し立ての権利、データポータビリティの権利、および忘れられる権利を提供しなければなりません。
9. 組織は、データ侵害を72時間以内に関連当局に通知しなければなりません。
10. 組織は、デザインによるデータ保護とデフォルトによるデータ保護の原則を遵守しなければなりません。

GDPRは米国企業にどのように影響を与えるのか（GDPRコンプライアンスのベストプラクティス）？

通常、EU諸国のコンプライアンスフレームワークは、米国の企業に影響を与えることはありません。しかし、ますます多くのビジネスがデジタル、オンラインの場に移行しているため、ビジネスをそのように制限しない限り、EUでビジネスを行うことを避けるのはほぼ不可能です。

米国企業が今後直面する可能性のあるいくつかの変化があります：

• すべてのEUデータの監査: まず第一に、EUのデータ主体からどれだけの情報が得られているか、その情報をビジネスやマーケティングのためにどのように処理しているか、そしてそのデータが実際のビジネス（商品やサービス）に関連しているかどうかを理解する必要があります。これにより、義務を理解することができます。
• マーケティング活動に対する同意の取得: ウェブサイトがグローバルユーザーからメールやその他の情報を収集する場合、EUのユーザーもそのネットにかかる可能性があります。そのため、多くの企業は、ユーザーのメールがビジネスやマーケティング活動に使用される可能性のあるランディングページに明示的な同意フォームを含めています。これには、情報の具体的な使用目的を明示する長い免責事項と明確なチェックボックスが含まれます。
• トラッキングクッキーに対する同意: ニュースや小売ウェブサイトで、クッキーの提供に対する許可を求める長い文章のバナーが増えていることに気づいたかもしれません。GDPRは、アカウントや閲覧行動を管理するためのクッキーの使用を収集の一形態と見なしており、EUの消費者からクッキーを収集するすべての企業はGDPRに準拠しなければなりません。
• ベンダー関係の見直し: 第三者のサービスプロバイダーが組織の情報を管理している場合、EUからの情報がどのように使用されるかを管理することは部分的にあなたの責任です。
• 侵害が発生した場合に備える: EU法の下で、組織は迅速に侵害に対応しなければなりません。米国の規則は報告により多くの時間を提供しますが、EU法の下では組織は72時間しかありません。
• DPOの任命: 組織がデータ保護責任者を持たず、EUで大規模なビジネスを行っている場合、雇用する必要があります。これにより、組織がコンプライアンスを達成するのを助けるだけでなく、GDPR規則に対する組織のコンプライアンス努力を指導し、導くことができます。
• 国際データ転送法の理解: GDPRには、国境を越えた消費者情報の転送に関する法律が含まれており、ここでのコンプライアンスの欠如は多大な時間と費用を要する可能性があります。これらの法律を理解することは、組織がマネージドファイル転送（MFT）やSSHファイル転送プロトコル（SFTP)などの技術をEUビジネスに使用する場合にも重要です。米国と欧州連合は、これらの転送を促進するためのフレームワークであるプライバシーシールドフレームワークを持っています。

GDPRの不遵守に対する罰則は何ですか？

EUの規則を理解することは大きな課題のように思えるかもしれませんが、それは必要です。最近、Google、Facebook、Appleのような国際企業は、EU法に対する不遵守から生じるいくつかの訴訟に直面しています。

GDPRの下でのコンプライアンスと罰則の最も重要な側面は、罰則が企業の実際の収益に比例して設定されていることです。したがって、固定の罰則や罰則範囲を提供するのではなく、GDPRは企業の収益からの割合を使用して罰則を計算します。

GDPRは罰則に2つの異なる階層を使用しています:
 

1. 階層1は、GDPR法の軽微な違反に焦点を当てており、認証や認可に関する規則の違反、ビジネス処理の合法的な基盤の維持、関連する場合には透明で偏りのない監視サービスの提供または受領を含みます。基本的に、組織はコンプライアンスにおいて誠実であり、基本的な処理基準を維持し、または提供する上でのコンプライアンス監視を行わなければなりません。この階層では、罰則は1,000万ユーロまたは全世界の年間収益の2％のいずれか高い方までの罰金です。
2. 階層2は、データの不法な処理、同意の取得の失敗、同意を得るための意味のある開示の失敗、消去、アクセス、またはその他の権利を守ることの失敗、他国への不法な転送に関連するより深刻な違反に対するものです。この階層では、罰則は2,000万ユーロまたは全世界の年間収益の4％のいずれか高い方までの罰金です。

これらの罰則の目的は、特に数十億ドルの資産を持つグローバル企業が法律を無視することを防ぐことです。

GDPRコンプライアンスについてもっと知りたいですか？

GDPRはサイバーセキュリティと消費者権利の現在と未来です。それはEU特有の規則セットですが、デジタル商取引のますますグローバルな範囲が無視するのを難しくしています。さらに、遅かれ早かれ、GDPRで概説された基準が他の国々に浸透するのを見ることになるでしょう。今でも、カリフォルニア州消費者プライバシー法（CCPA）は、その言語にGDPRのいくつかの側面を取り入れています。

GDPRコンプライアンスに取り組むには、セキュリティ、コンプライアンス、ログを統一して同意とデータプライバシー法を満たす強力な技術基盤が必要です。機密コンテンツ通信に関するGDPRコンプライアンスについてもっと知りたい場合は、Kiteworksアーカイブの記事をお読みください。

リスクとコンプライアンス用語集に戻る