# GDPR
GDPR(General Data Protection Regulation:一般データ保護規則)
# 概要
EU では、EU 域内の個人データを保護を規定する法律として、2016 年 4 月に制定された「GDPR」が 2018 年 5 月 25 日に施行されました。 GDPR は個人データやプライバシーの保護に関して、EU データ保護指令より厳格に規定します。
EU は、ヨーロッパを中心とする国の連合です。多くの法律は、国土外の人間に対して適用されないため、国外の法律を気にする機会がありません。 しかしこの法律は、特にインターネットの分野では Web サイトを開発・提供する世界中すべての者が理解し、適用することが求められます。
GDPR が求める義務は以下の通りです。
| 概要 | 内容 |
|---|---|
| 通知 | 個人データを取得する際には、取扱者は、当該データを取り扱う目的、保管する期間等を通知しなければなりません。 |
| 同意 | 本人から個人データの取扱いについて明確な同意を得る必要があります。 |
| アクセス権 | 本人が自らの個人情報にアクセス(開示等)できるようにしなければなりません。 |
| センシティブデータ | センシティブデータ(健康、人種、性的指向、信仰、政治的信条に関する情報等)については原則として取扱いが禁止されます。 |
| 代理人選任義務 | GDPR の適用がある EU 域内に拠点のない事業者は、原則として、EU 域内の代理人を書面により選任しなければなりません。 |
| 個人データ侵害の通知義務 | 個人データの侵害が発生した場合、原則として、72 時間以内に、管轄監督機関に通知しなければなりません。高いリスクを引き起こし得る場合、本人に個人データの侵害について通知しなければなりません。 |
| データ保護オフィサー | 一定の場合には、組織内部において GDPR の遵守を監視するデータ保護責任者を選任しなければなりません。 |
個人情報保護委員会と経済産業省 資料 (opens new window)より抜粋
GDPR は、日本に住む日本人には適用されません。しかし、EU にいるすべての個人には適用されます。
EU に住む人が 日本の Web サイトにアクセスした場合や、 日本人が EU 域内に旅行中に 日本の Web サイトにアクセスした場合も本法律が適用されます。
Web サイトは一般に公開すると国外からのアクセスを制御できません。 よって、GDPR の規則に則り Web サイトを公開するか、 EU 域内の人が Web サイトにアクセスすることを拒否する仕組みを整える必要があります。
違反した場合、多大な制裁金が課せられる場合があります。
なお、日本にも GDPR に似た法律があり、個人情報保護法が該当します。 参照: 個人情報保護委員会 個人情報保護法等 (opens new window)
← ディレクトリについて 基礎編: まとめ →