5月から施行のGDPR、EEA圏内の個人全てが保護対象に
GRCS 代表取締役社長兼CEO 佐々木 慈和 氏
GDPRは、欧州経済領域(EU加盟国およびアイスランド、リヒテンシュタイン、ノルウェー)で「各個人が自分の個人識別につながるあらゆる情報を自らコントロールする権利を保障する」という基本的人権の保護を目的に定められた法律。これまでのEU加盟各国ごとのデータ保護法をとりやめ、統一のEU法として5月から適用開始する。
GDPRは、欧州経済領域(EEA)内の企業だけでなく、域内に事業拠点をもつ外国企業、また拠点を持たずとも通販サイトなどネット経由で欧州市場に製品・サービスを提供する外国企業にも適用される。法規制により保護される個人データは、「個人識別につながる自然人に関するあらゆる情報」で、保護対象は「EEA内に所在する個人の個人データ」。EEA内に所在する個人は国籍や居住地などを問わず保護の対象となる。
規則に違反すると、前事業年度の全世界年間売上の2%以下、または1000万ユーロの高い方、もしくは同売上の4%以下、または2000万ユーロの高い方という制裁金を課せられる。佐々木氏は「EUとしてはGDPRを強力に推進したいという狙いがある。なんらかの形で、不特定の国に制裁をするかもしれません。日本企業の中から1~2社、見せしめとして摘発される可能性もある。早急かつ適切な対応を」と呼びかける。
