GDPR（General Data Protection Regulation）

[最近、よく聞くGDPRという言葉、
GDPR（General Data Protection Regulation）、
「EU一般データ保護規則」というもので
EU（欧州連合）域内にいるすべての個人の個人データ保護をするための法律が
2018年5月25日よりEUで施行されています。

日本の法律でいうと
2017年5月施行された「改正個人情報保護法」にあたります。

EU内企業はもちろんのこと、EUでビジネスを行う外国企業、更にEU域外に拠点を置く企業もEUに居住する消費者に対してサービスを行う場合はこの法律が適用されます。
（例えば、インターネットなどでEUの消費者に対して商品の販売やサービスを行っている場合など。）

GDPRについて重大義務違反を犯した場合、事業者(企業)として最大2000万ユーロ(約26億円)または全世界売上高の4%のいずれか大きいほうの金額が罰金として課される場合があります。

事業者(企業)には、以下のような義務が課されています。

〇通知：個人データ取得の際に、目的、保管期間などを通知。
〇同意：個人データ取扱時は本人の同意。
〇アクセス権：本人自ら個人データへのアクセスができる。
〇センシティブデータ：センシティブデータ(健康、人種、信仰、性的志向、政治信条等の情報)の取り扱い禁止。
〇代理人選任義務：GDPRの適用があるEU域内に拠点のない事業者は、EU域内の代理人を選任する。
〇個人データ侵害通知義務：個人データ侵害発生から72時間以内に管轄監督機関に通知。
〇データ保護オフィサー：組織内部にGDPR遵守を監視するデータ保護責任者を選任。

個人情報保護委員会/経済産業省の作成資料より

ここ最近、Cookie利用に関しての同意や説明のメッセージなどが
ホームページ上で出てくるのはこのGDPRが施行されたことが影響しています。

EU域内とは何もサービスを行っていないという場合は、特に対応は必要ないですが

先日、日本とEUとの間でEPA(経済連携協定)が署名されており、
今後EUとの経済活動が密になっていくことも考えると
頭の片隅にでも覚えておいた方が良さそうです。