GDPRなるものについて、グーグルから突然メールが届きました。
タイトルをみると「Important updates about the General Data Protection Regulation (GDPR)」ってなっていて、なにやら重要なアップデートがあるらしいのですが、本文も全文英語(汗)
なんだか不安になったので、情報を集めてみました。
- タイトルになっている「GDPR」って何の略なのか?
- GDPRの意味はわかりやすく言うと何なの?
- 自分に関係があるのかないのか?
- どんな影響があるのか?
こんな疑問が中心になります。
あくまで英語が不自由な素人が集めた情報なので、企業のご担当の方などは専門のサイトをご覧ください。
でもとりあえず、概要のイメージだけでもざっくりもちたい、という方は本文にお進みください。
GDPRって何の略?
とりあえず、GDPRは何の略なのか?
このあたりから切り込みましょう。
と言っても、グーグルからのメールのタイトルにもあるやつです。
GDPRは「General Data Protection Regulation」の略。
並んでいる単語を見ると、データの保護のきまりに関することらしい、と想像がつきます。
で、調べますと正しくは「EU一般データ保護規則」と訳されるそうです。
メールのタイトルを見る限りEUなんてどこにも出てきませんが、EU、つまりヨーロッパの決まりなんですね。
何これ、日本には関係ないの?
いや、ちょっと待って。
もう少し先に進みましょう。
GDPRの意味は、わかりやすく言うと何?
ここではあくまでGDPRの全体的なイメージをざっくり理解することが目的なので、ホントにざっくりいきます。なので、多少の正確さが犠牲になっている点はあらかじめご了承ください。
GDPRは、個人情報を保護するための決まり。
日本で言えば個人情報保護法みたいな主旨でつくられたものかと思われます。
舞台が欧州であることは上で見てもらいましたが、これまではEUに加盟している諸国がそれぞれに個人情報の保護の決まりを定めていた。でもこれからは、GDPRによって、EU全体で統一化されるわけです。
EUで、個人情報の保護に関するきまりを統一する。←ここが画期的なんですね。
日本で暮らす自分たちに関係あるの?
GDPRは、直接的にはEUの話。
なので、日本人には関係なさそう・・・ですよね?
ですがGDPRでは、個人情報の域外移転についても言及していて、この点では日本の、特にEU域内の個人情報を扱う方は注意が必要です。多くは事業者だと思いますけど、個人情報をEUの外で扱う時にはこのGDPRに注意しなきゃならないってこと。あと、ネット時代なので当然っちゃ当然なんですが、EU圏内に事業所があるかどうかは関係がないようです。
で、この域外移転、基本的には禁止なんだそうです。
域外移転が可能なのは、データの保護に関する措置が十分だとEUに認められた場合のみ。
ちなみに日本は2017年11月現在で、認められていないほうに入っちゃってます。
ま、年金のデータを国外の下請けに出しちゃう国ですから、仕方ないかも知れませんね・泣
違反するとでっかい罰則がある!
気をつけなきゃならないのは、「罰則の強化」。
GDPRでは罰則についてもふれていて、制裁金を課される場合がある。
これがまた強烈です。
制裁金は2種類あり、例えば、「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」は、企業の全世界年間売上高の2%以下、または1000万ユーロ以下のいずれか高い方が適用される場合がある。また、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4%以下、または2000万ユーロ以下のいずれか高い方となっている。2000万ユーロは、日本円に換算すると約26億円にもなる。
*画像出典:日本企業も大きな影響を受ける「GDPR」–まずは「対象か」の確認を – ZDNet Japan
26億円・・・
この前の年金機構のデータの件は、契約条項を破って中国の会社に委託していたようですが、制裁金って課されたんでしょうか?
GDPRの施行はいつから?
GDPRが施行されるのは、2018年5月25日からとなっています。
グーグルからメールが来たのも、これに先立つお知らせということなんでしょうね。
日本の中小事業者はどうなるのか?
さて、グーグルみたいなでっかい会社は、専門家をやとってこのGDPRに対処することができるでしょう。
日本の企業も、既に対応が進んでいるものと思います・・・よね?
だけど、個人で輸入ビジネスをしている人たちなんかは、どうなるんでしょう?
EU域内の個人相手に輸出ビジネスをしている通販店なんかもありそうですが、こういう場合もやっぱり個人情報を扱うわけですよね?
こういう方々がきっちり対応しようとしたら、けっこうハードルが高いんじゃないでしょうか・・・
もっと言うと、GDPRはプライバシーの概念が育ったヨーロッパで定められた規則ですから、世界の個人情報保護のお手本になる可能性もあります。日本ではこの方面がお寒い状況なのは、再三実感させられるところ。
なので、GDPRがいい感じに運用されていったとしたら、日本もこれに合わせていく可能性がありますよね。
そうなると、さらに多くの人が影響を受けることになりそうです。
おわりに
以上、グーグルからのメールをきっかけに、GDPRについてほんのさわりをご紹介しました。
GDPRはEUの、個人情報を取り扱う際のきまりの統一規則で、今後はEU内の個人の情報を取り扱う場合はいっそうの注意が必要、という点が、私なりに理解したポイントです。
だけど、大きな会社は何とか対応できそうだけど、個人事業だとどうなの?って気もします。
この点があらたな疑問ですし、ここを訪れてくれた方の一部には「まさにそこが知りたい」という方もいらっしゃるかも知れません。
この点では、施行時期が近づくにつれ、何か情報が出てくるかも知れません。
更新できたらしたいと思います。
法律的なことなので、この記事には不正確なところもあるかと思います。関係しそうなみなさんは、ぜひより専門的な情報を集めてください。より深い理解に向けたたたき台にでもなれば幸いです。
最後までご覧くださり、ありがとうございました。
コメント