General Data Protection Regulation

2018年に適用が開始された
EU一般データ保護規則のこと
GDPR
14%

GDPR(General Data Protection Regulation:一般データ保護規則)
EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。
引用元:GDPR https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

個人データにセーフネットをかける
── GDPRが施行された背景を教えてください。

 大きく2つあります。GDPRの前身として、95年にEUデータ保護指令が採択されました。今回のGDPRも保護指令も、個人データの取得や利用には一定の法的な根拠が必要であり、透明性、公正性を原則とするというのは同じですが、保護指令はEU加盟各国が個人データ保護のための国内法を制定するための指針という位置付けであり、実際に制定された国内法の内容は国によって差異がありました。

 EUには、国境に関係なくヒトやモノや資金を移動できるシングルマーケットという理念があります。保護指令をガイドラインとした国内法の内容が各国がバラバラだっため、EU全域を舞台とする多国籍企業の活動に不便が生じていました。そこで、国内法の手続きを経ずに加盟国で適用できるようなEUの法律を定めようという機運が高まり、GDPRが生まれました。

── GDPRの特筆すべきポイントはどこでしょう。

 技術の進歩により高度なサービスが提供できるようになりました。その一方で、24時間365日、自動的に個人データ処理が行われるようになっており、自分のコントロールが及ばないところで権利が害される可能性があります。そのような事態に対してセーフガードをかけたのがGDPRです。

 GDPRでは、個人データ処理が何のために、どういう根拠で行われ、誰に開示されるか、いつまで保持されるかなどを関係する個人に事前に説明する義務を、旧データ保護指令に比べて強化しました。そして、AIなどを利用した自動的な決定について異議がある場合、人間が関与することを求める権利があることを定めているのも大きなポイントです。

── 特に影響を受けた業界はどこでしょう。

 一番慌てふためいて対策に奔走しているのは広告業界ですね。前述したように、GDPR以前はオプトアウト方式が通常でしたが、施行後は関係個人から先立って同意をとらなければならなくなったからです。

 オンライン広告は、パブリッシャーであるWebサイトの広告スペースの後ろにアドテクノロジー企業がいて、Cookieなどを利用して集めたブラウザごとの閲覧履歴を参考に入札のようなことが行われ、表示される広告が決まるといった、洗練されたシステムが構築されています。ところが、システムを動かす前に、そのようなCookie処理についてちゃんと説明して同意を得る義務が生じてしまった。

 これまでは黙ってやられていたので気にしなかったことも、あなたの閲覧履歴を利用させてくださいと改めて聞かれると、同意しない人も多いのではないでしょうか。自分の閲覧行動が追跡されることを気持ちよく思わない方々もいるでしょうから。

 ヨーロッパの広告業界で大きな影響力を持つ、オンライン広告の規格策定や法整備などを行う米IAB(Interactive Advertising Bureau)がいち早くこの変化に気付き、広告エコシステムが共通して利用できる同意管理のフレームワークのようなものを標準化しようと取り組んでいます。
引用元:正しく知れば怖くない GDPRの基本と対策のポイントをIIJが解説 (2/5) – ITmedia NEWS https://www.itmedia.co.jp/news/articles/1808/01/news015_2.html

EU一般データ保護規則(EUいっぱんデータほごきそく、英: General Data Protection Regulation; GDPR)(規則 2016/679)とは、欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。欧州連合域外への個人情報の輸出も対象としている。

EU一般データ保護規則の第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである[1]。EU一般データ保護規則の発効によって、1995年以来のデータ保護指令(正式には Directive 95/46/EC)[2]は置き換えられる。本規則は2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日より適用される。1995年のデータ保護指令が欧州連合各国のデータ保護の断片化を招いたことから(備考 (Recital) 9)、同指令と異なり、本規則に関して欧州連合各国政府は特別に法規制を採択する必要ない[3]。ただしEU各国が特定のデータ処理について、より限定的な国内法の制定を妨げるものではない(備考 (Recital) 10)。
引用元:EU一般データ保護規則 – Wikipedia https://ja.wikipedia.org/wiki/EU%E4%B8%80%E8%88%AC%E3%83%87%E3%83%BC%E3%82%BF%E4%BF%9D%E8%AD%B7%E8%A6%8F%E5%89%87