GDPR (EU一般データ保護規則; General Data Protecion Regulation)
今年、2018年5月25日から新しく施行されます。
日本の企業がまったく関係無いわけでは無く、EU人と取引している全てが影響を受けます。
なので日本の企業も関係してきます。
GDPR では、「データの主体を直接的あるいは間接的に特定することのできるいかなる情報」を個人情報と定義しており、その中には例えば氏名、写真、メールアドレス、銀行口座情報、ソーシャルネットワークサービスにおける投稿、診療記録、IPアドレスなど多岐にわたる情報が含まれるとしています。拠点を EU圏内に有するかインターネット上でビジネスを行うかに関係なく、国内の多くの法人組織が EU圏内の市民の個人情報を取り扱っている
おそらく提供サービスの1利用者に、EU圏の個人が含まれていたら対象になるのでしょう。
- 施行まであとわずか半年-EU GDPR対応をどうする? – トレンドマイクロ セキュリティブログ
- 個人情報の利用にあたって提示する約款は誰もが理解できる言語で記載されかつ容易にアクセスできるようにしなければならない。
- 個人の権利と自由が侵害されるリスクのある情報漏えい事故の際には発覚後 72時間以内に通知が必要。
- 個人情報の主体は、自らの個人情報が処理されているのか否か、何の目的で、どこで利用されているのかを確認できる権利を有する。
- 当初の利用目的に対して個人情報が無効になった、あるいは主体が同意を取り下げた場合には、個人情報の削除、さらなる流通の中止、第三者により個人情報処理の停止を求めることができる。
- 個人情報の主体に関する定期的かつシステマチックなモニタリングを必要とする処理業務が主な活動に含まれる場合などには、個人情報に関する法律と対策を理解した情報保護責任者(Data Protection Officer、DPO)の設置が義務。
- 個人情報の主体の権利ならびにこの規則の要件を満たすために、技術的対策並びに組織的対策を効果的な形でシステム設計段階から組み込まなければならない。
- 個人情報の主体は、以前提供した自分自身の自分自身のデータを一般的で機械可読な形で入手し、別の場所に移動することができる。
これがまた罰則が瞬殺レベル。
低くても26億円、也。
ただ、トレンドマイクロ社のブログをみると、簡単に要件が書かれていましたがどれも聞きなれた要件。ただし IP など一部追加されている情報があります
正しく運用しましょう。
