技術メモ GDPR:EU 一般データ保護規則

GDPR(General Data Protection Regulation)「EU 一般データ保護規則」が、2016 年5 月24 日に発効、2018 年5 月25 日に適用開始しました。

GDPRとは、EU(欧州連合)が策定した、個人情報保護の新しい法律です。GDPRは、EU内の市民と居住者すべての個人の個人情報保護を強化することを目的としています。個人情報保護のルールを欧州の国別ではなくEUとして一括で定めたもので、違反すると罰則があります。

この法律の特徴は、EU内で活動する企業や個人のみならず、EUの市民と居住者に対してサービスを行っている、EU外の組織や個人全てに適用されることです。

私のブログはEUにも読者が居るので、私はその読者の個人情報の保護も行わなければならないということです。

私のブログの昨年の地域別アクセスを見ると、日本がダントツに多く、ヨーロッパは約0.3%です。

日本 97.54%
アメリカ 1.91%
ヨーロッパ 0.29%
アジア 0.25%
その他 0.01%
合計 100.00%

約0.3%といっても、1000人以上のユーザー数になるのでGDPRに対応する必要があります。

現在その為の対応を進めているところで、対応内容は順次こちらの記事に追記します。

コメント

  1. 河野  より:

    八雲様いつもありがとうございます。
    昨日GDPR対策セミナーを受講してきました。

    以下ご参考(ご存知の場合はこのメール自体削除してください。)

    EU域外の管理者や処理者でGDPRが適用される場合は
    ①EU域内にいるデータ主体に対する商品やサービスの「提供」をする場合
     (the offering of goods or services)
    ②EU域内のデータ主体の行動の監視(monitoring)をしている場合
    で、
    ①の「提供」(offering)は、GDPR前文(23)によれば、
     EU域内へ提供する意図が明白である場合に適用されるとの記載があるので、
     ・EU域内の言語や通貨が表示・使用されていないサイト
     ・EU域内にいるもの(国籍を問わず)に対して、サイトの利用に関する
      注意・方法などについて記載・言及していないサイト

      はEU域内へ「提供」する意図はなく、たまたまEU域内から
      サイトへコンタクトしてきた人がいると見なしGDPRの適用外のようです。

    ②の「監視」(monitoring)はGDPR前文(24)によれば、
     データ主体の嗜好、行動、態度を分析または予測するために自然人を
     プロファイリングする個人データ処理技術が後に使用される可能性を
     含め、インターネット上で自然人を追跡(トラッキング)しているかどうか
     について確認する必要があるとされているとのこと

     この文章では、例えば、EU域内の人のGPSを吸い上げていたり、EU域内にいる人の
     見ているサイトから判断し、興味あるサイトを表示するような行為をしない限り
     「監視」とは言えないと考えられますが、
     Cookieの利用が「監視」に該当するか、判断が分かれていて現状不明だそうです。
     以上

  2. 八雲 より:

    > 河野さま

    GDPRについての情報ありがとうございます。

    GDPRの前文を読んでみましたが、そこに書かれている文章をよく読むと、EUとして実は明確なターゲット(アメリカのSNS企業)があるのだけど、法律ではそう書くわけには行かないので、良く分からない言い回しをしているのを感じます。

    なので、個人事業レベルはあまり念頭になく、SNSの巨大企業を対象にしていると感じています。

    とは言え、法律となると原則として事業の大小に関わらず、適用されるということになるので、GDPRへの対応は必要だと感じました。

    私のブログやHPの場合、どのレベルまでの対応になるのかは明確にはわかりませんが、必要最低限の対応をする必要があると思います。