欧州委員会が十分な保護措置を確保していると認める(十分性のある)国以外に個人データを移転させることは、「データ保護指令」のころから原則禁止されている。日本はその「十分性認定」を受けておらず、EU域内の顧客データや従業員データを日本で保管・処理することができないことになる。しかし現実には現地拠点の人事情報管理や顧客管理・マーケティングなどが行われてきた。それは次の3つの例外が認められているからだ。
GDPRでもこれら例外が認められており、本人の同意があればどこにでも移転が可能である。とはいえ、B to Cサービスのように全てのユーザーの同意を得ることが困難な場合が多い。そこで企業・団体間でのデータ移転に関しては、移転元と移転先とが一定の保護規定が含まれた契約(SCC)を交わすことで移転可能にしている。今後もこの方法が主流になりそうだ。BCRは手続きが難しいため、これまであまり利用されてこなかったし、今後もそうである可能性が高い。
「忘れられる権利」として話題になった「削除権」は、例えばSNSの運営業者が取得した個人データについて、本人からの要求があれば消去してもらえる権利のことだ。これはGDPRでは管理者の義務として規定された。主に次のような場合にデータを消去しなければならない。
ポイントは、本人の同意が得られている場合のみデータの処理が可能であり、処理の必要がなくなったときや、本人が同意を取り消したときには早急に消去しなければならないことだ。これには本人からの申告や不服を受け入れる窓口と消去に対応する体制が必要だ。
管理者の義務として、個人データ収集の際、本人に一定の情報を提供ししなければならない(情報権)し、本人からの個人データへのアクセス請求に答えなければならない(アクセス権)。また個人データが不正確であれば本人からの訂正要求に答えなければならない(訂正権)。さらに本人が管理者に対して一定の場合に個人データ処理の制限をすることもできる(制限権)。
加えて「個人情報のポータビリティ」と呼ばれる権利も規定されている。これは本人から要請があれば当人の個人データを一般的に利用可能な形で受け取れるようにすることだ。例えばあるSNSから別のSNSにプロフィール情報などが移行できることになる。
こうした個人データ主体(本人)の権利に関して日本の個人情報保護法では重視されていない。GDPRの特徴として十分理解しておく必要があるだろう。
これらのポイントの他、「個人データ取扱いの透明性確保」「安全管理措置」「データ保護影響評価(DPIAs)の実施」「データ保護責任者(DPO)の設置」を規定しているのもGDPRの特徴である。これらについては、次回以降、詳しく見ていくことにする。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。