GDPR準拠 | Okta

GDPR（General Data Protection Regulation、一般データ保護規則）は、2018年5月に施行されました。これは、世界で最も厳格なプライバシーおよびセキュリティ法の一つです。EU（欧州連合）市民および顧客データのプライバシーを保護するように設計されています。

EU市民のデータを収集するすべての企業は、EUに直接拠点がなくても、GDPRに準拠する必要があります。

企業は、多額の罰金を避けるために、GDPRに準拠する必要があります。GDPRは、個人が個人データをより詳細に管理できるように設計され、データのセキュリティとプライバシーに関して企業と一般の人々の間のより高いレベルの信頼を育むことを目的とした、最も包括的なデータ保護法の1つです。

GDPRとは

2016年4月、欧州議会は1995年の旧式のデータ保護指令に代わるものとして、GDPRを採択しました。企業は2018年5月25日までにGDPRに準拠する必要がありました。

GDPRは、消費者が自分のデータを見たり、どのように収集されるかをより細かく管理できるようにします。EUの28の加盟国のいずれかのEU市民に関して収集されたデータは、保護され、安全に保護される必要があります。EU圏内で発生するすべてのトランザクションは、GDPRの対象となります。

GDPRでは、企業は個人データに対して「合理的」なレベルの保護を提供する必要があり、個人識別情報を構成するものについて広範な見解を示しています。これは、個人データ保護と消費者の権利に関して非常に高い基準を設定します。ただし、企業はコンプライアンスを維持するために、プロセスとシステムを導入するためにより一層努力する必要があります。

GDPRが作成された理由

GDPR（一般データ保護規則）は、データプライバシーに関する一般の懸念と、企業がこの情報をどのように保存し、潜在的な悪意のある主体からどれだけ安全に保護するかについての懸念に対する答えです。ヨーロッパ人の半数以上が、サイバー犯罪者が個人データにアクセスすることを懸念しており、半数弱が民間企業と個人データを共有したくないと考えています。

GDPRは、個人データを保管する企業と一般の人々との間に、より高いレベルの信頼関係を築くことを目的としています。このデータの保存および使用方法に関するより厳格な規制と規則は、消費者を保護することを目的としています。

インターネットは、最初のデータ保護指令が作成された1995年とは大きく異なっています。人々はますます多くの個人生活とデータをオンラインに置き、企業がそれらとデータを安全に保つために努力することを期待しています。

データ侵害が発生した場合、消費者はしばしば会社を非難します。これは、企業をより高い基準と慣行に維持しながら、消費者のデジタル資産を保護するために作成されました。

GDPRの影響を受けるのは誰ですか？

EU加盟国でEU市民の個人データを処理する企業、EU圏内の市民に商品やサービスを提供する企業、またはEU圏内の個人の行動を監視する企業は、GDPRに準拠する必要があります。GDPRは、EU内に物理的な拠点がなくても、EU圏内のメンバーにサービスや商品を提供している企業（有償・無償を問わず）、およびEU市民の個人情報を保管している企業にも適用されます。

GDPRの適用対象：

EU加盟国に拠点または物理的な支店を持つすべての企業。
EU内の個人にサービスを提供する企業、およびEU加盟国の居住者の個人データを処理する企業。
従業員数が250人を超える企業。
個人データを処理する従業員250人未満の小規模企業。

GDPRによって最も大きな影響を受けている業界は次のとおりです。

ソーシャルメディア
オンライン小売業者
医療およびヘルスケア
金融サービスとオンラインバンキング
リモートサービスとクラウドコンピューティング

誰がGDPRコンプライアンスを管理しますか？

GDPRに準拠し続けるには、企業はデータ管理者、データ処理者、およびデータ保護責任者（DPO）を置く必要があります。データ管理者は、個人データがどのように処理され、どのような目的で使用されるかを決定し、外部委託業者のコンプライアンスを保証します。

データプロセッサーは、社内グループまたはアウトソーシング企業として、個人データを処理および維持します。データ侵害またはGDPR非準拠が発生した場合に責任を負うのは、これらのエンティティです。データ管理者とデータ処理者は、GDPRコンプライアンスを監督するDPO（データ保護責任者）も指名する必要があります。

DPO（データ保護責任者）は、企業のデータ保護戦略の監督、GDPRコンプライアンスを確保するためのポリシーの実施、コンプライアンスに関する従業員のトレーニングと教育、データ転送業務とデータストレージの監視、およびGDPR監督当局との連絡窓口としての役割を担います。企業は、GDPRコンプライアンスを維持するために、外部ソースまたは別の組織からDPOを雇用できます。

企業は、以下のケースでGDPRコンプライアンスを確保するためにDPOを雇用する必要があります。

組織は公的機関です
企業は、大規模かつ体系的な個人ユーザーデータの監視に関与しています。
組織は大量の個人ユーザーデータを処理します

GDPRは、顧客およびサードパーティとの契約にどのように影響しますか？

GDPRによって要求される「ダウンストリームコンプライアンス」という形式があります。これは、データ処理に使用されるサードパーティ企業もGDPRポリシーに準拠する必要があることを意味します。企業がGDPRで定義されているように正しい方法でデータを収集している場合でも、このデータの処理に使用される企業がアウトソーシングされており、非準拠である場合、元の組織は引き続き責任を負います。

企業のデータ処理者およびデータ管理者は、すべてのサードパーティ企業、アウトソーシングサービス、請負業者、およびサービスプロバイダーがGDPRに準拠していることを保証する責任があり、そうでない場合は違反と見なされ、巨額の罰金が科せられる可能性があります。すべての契約およびサードパーティとのやり取りも、GDPR規制に従う必要があります。

顧客やサードパーティとの契約は明確に定義する必要があり、企業はベンダーがどのように情報を処理および保存するかを正確に把握する必要があります。

データの流れは保護され、関係するすべての当事者が完全に理解している必要があります。これには、収集されるデータの種類、処理方法、およびその移動に関する正確な知識が含まれます。GDPRの規制と要件を遵守するために、契約の再交渉が必要になる場合があります。

データプライバシー要件

GDPR規制により、個人データの収集と保存に対する消費者の管理が強化されます。内容は以下のとおりです。

消費者は、データ収集とその収集対象となるデータに同意する権利を有します。
個人は、企業に対してデータの処理停止、使用制限、または使用方法に対する異議を申し立てる権利を有します。
ユーザーは、自分のすべてのデータを削除または消去する権利を有します。
ユーザーは、自身のデータにアクセスする権利を有します。
ユーザーは、あるサービスプロバイダーから別のサービスプロバイダーにデータを転送できる必要があります。
プライバシーポリシーは、平易な言葉を使用して明確に概説する必要があります。
ユーザーは、データ侵害が発生してから72時間以内に通知を受ける必要があります。
ユーザーは、個人データの更新、修正、または完全性を要求する権利を有します。

ユーザーの同意はもはや暗黙的であると見なすことはできません。つまり、ユーザーは、企業がデータを収集、保存、処理するために、オプトアウト形式ではなく「オプトイン」を使用して明示的な同意を与える必要があります。ユーザーは、企業が自分のデータをどのように使用しているかについて質問し、異議を申し立てる法的権利を持っています。

GDPRは、消費者の「個人データ」を保護します。これには、以下が含まれます。

名前、住所、ID番号、メールアドレス、および基本的なアイデンティティ情報
バイオメトリクスデータ
IPアドレス、RFIDタグ、Cookieデータ、場所などのWebデータ
性的指向
人種および/または民族データ
遺伝子および健康データ
政治的意見
識別できる、または識別された生存者に関するあらゆる種類の情報

個人データの「基本的なアイデンティティ」カテゴリは広範囲にわたり、あらゆるタイプのユーザー生成データに適用できます。これには、ソーシャルメディアの投稿、Webサイトにアップロードされた個人的なもの、およびオンラインで送信されるあらゆる形式の個人情報が含まれます。

こちらの情報も併せてご活用ください

GDPRコンプライアンスでは、すべてのサービスプロバイダーとサードパーティが規制を遵守する必要があります。EUは、すでにこれらの規制に従っている企業のGDPR準拠サービスのリストを提供しており、規制上のペナルティを回避するために使用できます。

欧州連合に何らかの事業または拠点を有する米国の企業は、GDPRに準拠する必要があります。これは通常、データ管理者および処理者の責任となります。データ管理者向けのGDPRチェックリストは、組織がコンプライアンスを維持するために、正しく必要なすべてのボックスをチェックしていることを確認するのに役立ちます。

多くのベンダーや組織が、GDPRコンプライアンス監査を提供しています。これらのベンダーや組織は、対象の組織がGDPRに準拠していることを保証するサービスを提供できます。これらのサービスは有料ですが、コンプライアンス違反による多額の罰金を回避することで、会社のコスト削減につながります。