こんにちは、たけちよです。
このブログでは、この先の変化の激しい時代において、全ての世代のビジネスマンにはもちろんのこと、特にX世代にあたる40歳以上の方々は知っておかないといけない知識や考え方をできる限り分かりやすく、短い文章で発信しています。
このブログで大枠を掴んでから、他のサイトや書籍などで理解を深める、というような使い方をしてもらえればと思います。
今回は、DXの推進によりこれまで以上に個人情報保護を注意しながらビジネスをしなければいけないということで、2年前からは施行されているEUでの「GDPR」についてお話したいと思います。
GDPRって何?

「GDPR」とは、General(一般)Data(情報) Protection(保護) Regulation(規則) の頭文字をとったものです。
分かりやすく一言で言うと、EUで2018年5月に施行された個人情報取扱いの規則になります。
1995年に「Data Protection Directive 95」という法がEUで施行されましたが、その後の急速なデジタル技術の革新や国境を超えた国際化の進展があったため、再度データの取扱いについて法整備をした規則になります。
このGDPRがスタートしたことで、アプリ、WEBサービスなどで個人情報の取扱いが見直され、皆さんのスマホにも「プライバシーポリシーをアップデートしました」という通知やメールが送られてきたと思います。
日本では、改正個人情報保護法(2017年5月〜)がこれにあたります。
GDPRの内容を要約した3つのポイント

【1】適用対象者と対象データは何?
適用対象者は、EU内に支店を置いてビジネスをしていたり、居住している人、またデータを扱う人が対象となります。
対象データに関しては、氏名やクレジット情報などが分かる個人データになります
【2】この規則で受ける影響とは?
GDPRで定められた個人情報の管理やビジネス運営において対応が求められます。
ネットワーク経由でのビジネスが多いため、多くの企業が対応をしています。
日本の場合であれば、以下のような企業やサービスが対応を求められます
・現地に子会社や支店を展開している場合
・現地に商品やサービスを提供している場合
・現地事業者から個人データの処理の依頼を受けている場合
・現地から個人データの移転を受けている場合
【3】違反した場合は?
最低でも2000万ユーロ(日本円にして約24億円)、もしくは売上の4%を制裁金として求められるため、企業の存続に関わります。
もう少し具体的な3つのポイント

1、データ処理の実行をするには根拠が必要になります
具体的には、
・データ主体(個人情報主)の同意
・データ主体と管理者との契約
など、個人データの処理に際しては、法律で定められた根拠を充足する必要があります
2、データ主体(個人情報主)が有する権利
日本には定められていない権利が認められていて、請求があれば対応しなければいけません
具体的には、以下になります。
・忘れられる権利(消去権)を言われたら消去しなければいけない
・SNSから別のSNSに移したいなどの場合に自分データをダウンロードをさせて欲しいなどの要望に対応しなければいけない(=データ・ポータビリティ権)
3、EU外へのデータ移転は禁止されていますが、以下の場合は認められます
・データ主体(個人情報主)が同意している
・移転先の国がEUから認定を受けている
最後に。。

最近は、有名ブランドをかたる詐欺やフィッシングメールが激増しています。特にAmazonをかたるフィッシングメールにより、多くの方が個人情報を盗まれています。
2019年の1年間で上場企業だけでも66件の個人情報漏洩事件があり、漏洩された数は、900万人分にもなります。
漏洩してしまった企業の損害は、数億円に及ぶこともあるため、特に個人情報を扱うサービスの場合は、徹底した運営が必要になります。
現状は、仕組み化や制裁金、ITにより防ごうとしていますが、悪さをする人もレベルアップするわけで、結局はイタチごっこになります・・・
最終的には、一人一人の人間に対して、チップを入れて個人情報を保護するようになるのではないでしょうか。
皆さんも個人情報扱いにはくれぐれも気をつけて下さいね
では、また。。