最近、GDPRという言葉を目にすることが多くなりました。
Googleなどのウェブサービスでも、同意を求められたり、規約が変わった通知が来たり、、、これにはGDPRが絡んでいるらしい。
しかし、GDPRとは何なのか分からないので、調べてみました。
GDPRは、EU内の個人情報保護を強化するための法律
GDPRは、「General Data Protection Regulation」、訳すと、一般データ保護規則 となります。
よくわからんので、公式HPを読んでみようと思ったものの挫折。
英語で長文(法律)を読むのは厳しいですね。
なので、Wikipediaで確認してみました。
Wikipediaの記載によると、
・EU内の全ての個人のために、データ保護を強化し統合することを意図
・第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと
・2018年5月25日(今日から)施行
とのこと。
ざっくり言うと、「EUの国民の個人データを勝手に使うんじゃね~。法律で規制するからな!」ってことです。
個人データを使う際は、通知と同意が必要
他にも、「EU一般データ保護規則 - Wikipedia」を確認すると、個人データを使う際の通知について、記載がありました。以下抜粋です。
通知は従来通り必要で、その範囲が拡大され、
・個人データの保持期間
・データ管理者とデータ保護最高責任者の連絡先情報
を含まなければならない。
とのこと。
また、これらを通知した上で、データ提供者の同意が必要です。
仮名化も必要
仮名化?ってと思い、調べてみたところ、以下の通りでした。
またしてもWikipdiaから抜粋・まとめます。
仮名化とは、個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理。
仮名化の一例として暗号化がある。元のデータが分からないように、適切な復号鍵がなければデータ処理を元に戻すことができないようにする処理である。
要は、「個人データの派生データから、芋づる式に色んな個人データが取り出されないように、ちゃんと暗号化などの対策を行うように」ということですね。
違反して処罰されると大変なことに
違反するとどうなるか気になったのですが、またしてもWikipediaより抜粋・まとめ。
・初回かつ意図的でない違反の場合は、書面による警告
・規則に基づく定期的なデータ保護監査
・企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料
・企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料
すごいですね、10,000,000ユーロですって。日本円に直すと、12億円です!!
20,000,000ユーロの方もありますね。こちらだと24億円です。罪の大きさによって違うんですかね。よく分かりません。
これだけのお金が払える企業でないと、現実味がわかない金額です。
中小企業だと、制裁金を課されても払えないですし。。
個人事業主がやってるWebサービスとかだとどうなるんだろう?警告だけ?
EUの警告?相手はFacebookやAmazon?
これは推測ですが、これだけの巨額の制裁を課すということは、実際に相手にしたいのは、FacebookやAmazonなど、EU外(アメリカ)の巨大IT産業なんだと思います。
EUでは、Facebookの反対運動などもありましたし、シリコンバレーへの反感もあるのかも。。
そういった市民の声も、今回のGDPRの施行に絡んでいるのでしょう。
もちろん、日本も対象(EUの人を相手に商売するならば)になっていて、色んな企業で対策が進んでいます。
これから、さらに個人情報にはセンシティブな時代がやってくるでしょうね。
一方で、ビッグデータを活用したAIへの取り組みなどもあり、どう折り合いをつけるのかが今後注目です。