一般データ保護規則(GDPR)とは何ですか?

サイバーセキュリティに関するご質問にタレス eセキュリティがお答えします。

一般データ保護規則(GDPR)とは何ですか?

GDPRは、おそらく現時点で最も包括的なデータプライバシー規則であり、EU市民の個人データを処理する組織にとって大きな課題となっています(この規則は、組織の拠点がEU域外であっても適用されます)

2018年5月に適用開始となったEU一般データ保護規則(GDPR)は、個人データの保護を強化し、データ漏洩に対する組織の説明責任を高めるように設計されています。GDPRでは、世界全体での収益の4パーセントか2000万ユーロのいずれか高額な方が罰金として課せられる可能性があるため、大きな影響力を持っています。組織の拠点がどこにあっても、EU居住者の個人データの処理や管理を行う限り、GDPRに準拠する必要があります。準拠していない場合は、多額の罰金が課せられます。また、データ漏洩があった場合は、関係者に通知する義務もあります。

GDPRは包括的で、以下の章と条項で構成されています。:

第1章:一般規定

  • 第1条:対象事項及び目的
  • 第2条:実体的適用範囲
  • 第3条:地理的適用範囲
  • 第4条:定義

第2章:基本原則

  • 第5条:個人データの取扱いと関連する基本原則
  • 第6条:取扱いの適法性
  • 第7条:同意の要件
  • 第8条:情報社会サービスとの関係において子どもの同意に適用される要件
  • 第9条:特別な種類の個人データの取扱い
  • 第10条:有罪判決及び犯罪と関連する個人データの取扱い
  • 第11条:識別を要しない取扱い

第3章:データ主体の権利

  • 第1節:透明性及び手順
  • 第12条:データ主体の権利行使のための透明性のある情報提供、連絡及び書式
  • 第2節:情報及び個人データへのアクセス
  • 第13条:データ主体から個人データが取得される場合において提供される情報
  • 第14条:個人データがデータ主体から取得されたものではない場合において提供される情報
  • 第15条:データ主体によるアクセスの権利
  • 第3節:訂正及び消去
  • 第16条:訂正の権利
  • 第17条:消去の権利(「忘れられる権利」)
  • 第18条:取扱いの制限の権利
  • 第19条:個人データの訂正若しくは消去又は取扱いの制限に関する通知義務
  • 第20条:データポータビリティーの権利
  • 第4節:異議を述べる権利及び個人に対する自動化された意思決定
  • 第21条:異議を述べる権利
  • 第22条:プロファイリングを含む個人に対する自動化された意思決定
  • 第5節:制限
  • 第23条:制限

第4章:管理者及び処理者

  • 第1節:一般的な義務
  • 第24条:管理者の責任
  • 第25条:データ保護バイデザイン及びデータ保護バイデフォルト
  • 第26条:共同管理者
  • 第27条:EU域内に拠点のない管理者又は処理者の代理人
  • 第28条:処理者
  • 第29条:管理者又は処理者の権限の下における取扱い
  • 第30条:取扱活動の記録
  • 第31条:監督機関との協力
  • 第2節:個人データの安全性
  • 第32条:取扱いの安全性
  • 第33条:監督機関に対する個人データ侵害の通知
  • 第34条:データ主体に対する個人データ侵害の連絡
  • 第3節:データ保護影響評価及び事前協議
  • 第35条:データ保護影響評価
  • 第36条:事前協議
  • 第4節:データ保護オフィサー
  • 第37条:データ保護オフィサーの指名
  • 第38条:データ保護オフィサーの地位
  • 第39条:データ保護オフィサーの職務
  • 第5節:行動規範及び認証
  • 第40条:行動規範
  • 第41条:承認された行動規範の監視
  • 第42条:認証
  • 第43条:認証機関

第5章:第三国又は国際機関への個人データの移転

  • 第44条:移転に関する一般原則
  • 第45条:十分性認定に基づく移転
  • 第46条:適切な保護措置に従った移転
  • 第47条:拘束的企業準則
  • 第48条:EU法によって認められない移転又は開示
  • 第49条:特定の状況における例外
  • 第50条:個人データ保護のための国際協力

第6章:独立監督機関

  • 第1節:独立的地位
  • 第51条:監督機関
  • 第52条:独立性
  • 第53条:監督機関のメンバーに関する一般的条件
  • 第54条:監督機関の設置規定
  • 第2節:職務権限、職務及び権限
  • 第55条:職務権限
  • 第56条:主監督機関の職務権限
  • 第57条:職務
  • 第58条:権限
  • 第59条:活動報告書

第7章:協力と一貫性

  • 第1節:協力
  • 第60条:主監督機関とその他関係監督機関との間の協力
  • 第61条:共助
  • 第62条:監督機関の共同作業
  • 第2節:一貫性
  • 第63条:一貫性メカニズム
  • 第64条:欧州データ保護会議の意見
  • 第65条:欧州データ保護会議による対立の解決
  • 第66条:緊急の手続
  • 第67条:情報交換
  • 第3節:欧州データ保護会議
  • 第68条:欧州データ保護会議
  • 第69条:独立性
  • 第70条:欧州データ保護会議の職務
  • 第71条:報告書
  • 第72条:手続
  • 第73条:議長
  • 第74条:議長の職務
  • 第75条:事務局
  • 第76条:機密性

第8章:救済、法的責任及び制裁

  • 第77条:監督機関に異議を申し立てる権利
  • 第78条:監督機関を相手方とする効果的な司法救済の権利
  • 第79条:管理者又は処理者を相手方とする効果的な司法救済の権利
  • 第80条:データ主体の代理人
  • 第81条:訴訟手続きの停止
  • 第82条:賠償の権利及び法的責任
  • 第83条:制裁金を科すための一般的要件
  • 第84条:制裁

第9章:特定の取扱いの状況と関係する条項

  • 第85条:取扱いと表現の自由及び情報伝達の自由
  • 第86条:公式文書の取扱い及び公衆のアクセス
  • 第87条:国民識別番号の取扱い
  • 第88条:雇用の過程における取扱い
  • 第89条:公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いと関連する保護措置及び特例
  • 第90条:守秘義務
  • 第91条:教会及び宗教団体の既存のデータ保護規則

第10章:委任される行為および実装行為

  • 第92条:委任される行為の執行
  • 第93条:委員会の手続

第11章:最終規定

  • 第94条:指令95/46/ECの廃止
  • 第95条:指令2002/58/ECとの関係
  • 第96条:既に締結された協定との関係
  • 第97条:欧州委員会の報告書
  • 第98条:データ保護に関するEUの他の法的行為の見直し
  • 第99条:発効及び適用

第32条の主要な規定

GDPRの第32条では、中心的規定として、以下が求められています。

  1. (a)個人データの仮名化及び暗号化
  2. (b)取扱いシステム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力
  3. (c)物的又は技術的なインシデントが発生した際、適時な態様で、個人データの可用性及それに対するアクセスを復旧する能力
  4. (d)取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定するための手順

第34条の主要な規定

GDPRの第34条では、データ漏洩が発生した場合にデータ主体への通知を回避できる条件についても示されています。

  1. 個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。
  2. 本条第1項で定める示すデータ主体に対する連絡は、明確かつ平易な言語でその個人データ侵害の性質を記述し、(後略)。
  3. 第1 項で定めるデータ主体に対する連絡は、以下の条件に合致する場合、これを要しない:
    1. (a)管理者が適切な技術上及び組織上の保護措置を実装しており、かつ、当該措置、特に、暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合;
    2. (b)管理者が、第1項で定めるデータ主体の権利及び自由に対する高いリスクが具体化しないようにすることを確保する事後的な措置を講じた場合;
    3. (c)それが過大な負担を要するような場合。そのような場合、データ主体が平等に効果的な態様で通知されるような広報又はそれに類する方法に変更される。

関連記事