GDPR
General Data Protection Regulation(一般データ保護規制)
施行日
2018年5月25日
基本方針
EEA内の各人が自分で自身の「個人データ」(Personal Data)をコントロールできる権利を保障する 対象
EEAに加盟している国の国民が利用するすべてのサービス。サービスを提供している国は関係ない。 例えば、日本に来たEUの国の人が使うサービスはすべて対象になる。
通常は現地法に従うはずなので、前例のないほど広範囲。
サービスを利用したユーザーだけでなく、EEA内の人を雇った場合にその従業員の個人情報も含まれる。EEA内に支店があるグローバル企業が特に困ってる。EEA外の本社に名前すらも送れない。
日本企業は具体的になにすればいいの?
施行日に間に合わなかったけど、日本の法律が十分性認定されたら、日本の法律を守ってればOKになるはず。
2019/2に十分性認定されました!(但し追加のガイドラインに従う必要があります)
違反した場合の制裁金
違反した場合には1000万ユーロか、総売上の2%の高い方。内容によってその倍。
Google, Facebookだと何千億円レベルの罰金に。
最近よく表示されるCookie利用に同意ください、というのもこのGDPRが発端。ただし現時点で本当にそれが必要なのかは諸説あり。EU議会は、cookieによるADアドトラッキングをターゲットにした別の規制も用意しているみたい。ネット時代の参入障壁として個人情報が利用されているという批判もある。
個人的見解
大義名分的には個人データ保護だけど、GAFAをどうにかしたいのが背景にある。 中国はGDPRの十分性認定を取れるわけないので、中国企業排除の思惑もありそう。