まめぞうの技術メモ

IT関連で勉強したことをメモします

GDPRって何?一般データ保護規則って?ざっくり理解

最近、GDPRという言葉を目にすることが多くなりました。

Googleなどのウェブサービスでも、同意を求められたり、規約が変わった通知が来たり、、、これにはGDPRが絡んでいるらしい。

しかし、GDPRとは何なのか分からないので、調べてみました。

 

GDPR

 

GDPRは、EU内の個人情報保護を強化するための法律

GDPRは、「General Data Protection Regulation」、訳すと、一般データ保護規則 となります。

 

よくわからんので、公式HPを読んでみようと思ったものの挫折。

ec.europa.eu

 

英語で長文(法律)を読むのは厳しいですね。

なので、Wikipediaで確認してみました。

 

EU一般データ保護規則 - Wikipedia

 

Wikipediaの記載によると、

・EU内の全ての個人のために、データ保護を強化し統合することを意図

・第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと

・2018年5月25日(今日から)施行

とのこと。

 

ざっくり言うと、「EUの国民の個人データを勝手に使うんじゃね~。法律で規制するからな!」ってことです。

 

 

個人データを使う際は、通知と同意が必要

他にも、「EU一般データ保護規則 - Wikipedia」を確認すると、個人データを使う際の通知について、記載がありました。以下抜粋です。

通知は従来通り必要で、その範囲が拡大され、

個人データの保持期間

データ管理者とデータ保護最高責任者の連絡先情報

を含まなければならない。

とのこと。

 

また、これらを通知した上で、データ提供者の同意が必要です。

 

仮名化も必要

仮名化?ってと思い、調べてみたところ、以下の通りでした。

またしてもWikipdiaから抜粋・まとめます。

仮名化とは、個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理。

 

仮名化の一例として暗号化がある。元のデータが分からないように、適切な復号鍵がなければデータ処理を元に戻すことができないようにする処理である。

 

要は、「個人データの派生データから、芋づる式に色んな個人データが取り出されないように、ちゃんと暗号化などの対策を行うように」ということですね。

 

違反して処罰されると大変なことに

違反するとどうなるか気になったのですが、またしてもWikipediaより抜粋・まとめ。

・初回かつ意図的でない違反の場合は、書面による警告
・規則に基づく定期的なデータ保護監査
・企業の場合、10,000,000ユーロ、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料 
・企業の場合、20,000,000ユーロ、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料 

 

すごいですね、10,000,000ユーロですって。日本円に直すと、12億円です!!

20,000,000ユーロの方もありますね。こちらだと24億円です。罪の大きさによって違うんですかね。よく分かりません。

 

これだけのお金が払える企業でないと、現実味がわかない金額です。

中小企業だと、制裁金を課されても払えないですし。。

個人事業主がやってるWebサービスとかだとどうなるんだろう?警告だけ?

 

EUの警告?相手はFacebookやAmazon?

これは推測ですが、これだけの巨額の制裁を課すということは、実際に相手にしたいのは、FacebookやAmazonなど、EU外(アメリカ)の巨大IT産業なんだと思います。

 

EUでは、Facebookの反対運動などもありましたし、シリコンバレーへの反感もあるのかも。。

 

そういった市民の声も、今回のGDPRの施行に絡んでいるのでしょう。

 

もちろん、日本も対象(EUの人を相手に商売するならば)になっていて、色んな企業で対策が進んでいます。

 

これから、さらに個人情報にはセンシティブな時代がやってくるでしょうね。

 

一方で、ビッグデータを活用したAIへの取り組みなどもあり、どう折り合いをつけるのかが今後注目です。