欧州委員会は24日、5月25日に適用が開始される欧州連合(EU)「一般データ保護規則(GDPR)」を巡り、円滑な導入に向けたガイドラインを発表した。GDPRの概要をあらためて説明するとともに、現時点での準備状況や各国当局が適用開始までに行うべきこと、欧州委が今後に取る予定の措置などが示されている。EU加盟各国は期日までにGDPRを国内法化するよう義務付けられており、同委は手続きを急ぐよう求めている。
GDPRは1995年データ保護指令に代わるものとして、2016年5月に発効。全加盟国で同じルールが適用されるため、EUでサービスを提供する企業は、事業を行う国に関わらずGDPRを順守すればよく、事務処理負担の低減につながると期待されている。
GDPRでは、「忘れられる権利」など個人のデータに関する権利を強化し、企業が個人の沈黙や無行動を同意と見なすことを禁止する。また、新たに個人が企業に提供したデータを取り戻したり、他社に移転できる権利を認めた。個人データが漏えいした場合、企業は監督当局に72時間以内に通報するとともに、場合によってはデータ主体である個人に報告することが義務付けられる。
企業が個人のプライベート情報を大量かつ系統的に評価したり、機密データを大量に処理したり、公共分野を大量かつ系統的に監視する場合には、事前にリスクを見極めるための「データ保護影響評価」が必要となる。また、データ処理者の義務やデータ管理者が処理者を選定する際の責任についても明確化されている。
個人データを欧州経済領域(EEA)外に移転する場合の制度は、旧指令とほぼ同じ。ただ、欧州委が域外システムの個人データ保護の「十分性認定」を行う際の基準は、詳細かつ厳密に示されている。
GDPRでは、全加盟国のデータ保護当局が、データ管理者やデータ処理者に最高2,000万ユーロまたは世界売上高の最大4%の罰金を科すことができる。また、各国当局間の新たな協力の仕組みも示された。
加盟各国はGDPRの国内法化に取り組んでいるが、現時点でこれが完了しているのはオーストリアとドイツの2カ国のみという。欧州委は、国内法化が遅れたり行われなければ、違反手続きを含むあらゆる手段に訴えるとしている。
なお、EU離脱が決まっている英国については、離脱日までに処理されたデータについてはGDPRが適用される見込み。一方、英国のEU離脱以降の同国へのデータ移転については、移行措置の内容によっては域外移転のルールが適用される。[EU規制]
Copyright (c) 1997- NNA All rights reserved.
※本コメント機能はFacebook Ireland Limitedによって提供されており、この機能によって生じた損害に対して株式会社NNAは一切の責任を負いません。