皆さん、こんにちは。今週は、GDPRを取り上げます。欧州にお住いの方なら「またその話か？！」とうんざりされるかもしれませんが、他の地域にお住いの方はどのくらいご存知でしょうか。GDPRとはEUの新しい規制ですが、多くの日系企業も影響を受けているし、今後よく似た規制が他国でも施行される可能性があるので、知っておくと役に立つことがあるのではないかと思います。

まずGDPRとは、The EU General Data Protection Regulationの略で「一般データ保護規則」と訳されます。

EU（欧州連合）の規制にはいくつかの種類がありますが、特に「Directive（指令）」と「Regulation（規則）」の違いを押さえておく必要があります。Directiveの場合は、国内法に置き換えられてから各国で効力を持ちます。それに対し、Regulationの場合はEUで制定されると各加盟国に直接的な効力を持ち、しかも国内法に優先します（余談ですが、イギリスのEU離脱派が離脱したがっている理由の一つはここにあります。参照記事）。

これまでもEUではDirective 95/46/ECというEUデータ保護指令によって規制されていましたが、GDPRはDirectiveからRegulationに格上げされ、EUデータ保護法の範囲が拡張されました。そのGDPRが先週（5月25日）に施行。多くの企業が対応に追われました（GDPR関連のメールを受け取った方も多いのではないでしょうか）。

では、GDPRとはどんな規則なのでしょう？

これは個人データの取り扱いを厳しく規制する法律で、EU域内での個人データの処理や監視のルールが定められています。EU域内に居住する人々のデータの収集・保管・移転が対象となっているので、日系企業にも影響があります。個人の権利が強化され、遵守しない企業には厳しい制裁が実施されることになっています。

公式サイトは、こちらです。

ここで問題となる個人データ（personal data）とは何でしょう？

GDPRは、以下のように定義しています。

any information relating to an identifiable person who can be directly or indirectly identified in particular by reference to an identifier. This definition provides for a wide range of personal identifiers to constitute personal data, including name, identification number, location data or online identifier, reflecting changes in technology and the way organisations collect information about people.

翻訳調にすべて訳すと頭が痛くなりますが、おおまかに「人物を直接的あるいは間接的に特定できる、あらゆる情報」で「氏名、ID番号、位置情報、オンライン識別子（IPアドレス、閲覧履歴、購入履歴等）」などが含まれます。

企業が、このような個人データの取得するには個人（GDPRでは「データ主体者/data subject」という用語を使います） の合意（consent）が必要で、情報をEU域外に持ち出す場合もデータ主体者の合意が必要、また求めに応じてデータを削除できる仕組みが必要であり、データ管理には「データ保護責任者 (Data Protection Officer)」の設置が求められています。

個人は、情報へのアクセス権（Right to Access）が強化され、個人データがどこでどのような目的で利用されているかなどを企業に確認できるようになります。また企業には個人データの写しを無料で提供する義務があります。

「データ削除（Data Erasure）」を求める権利は「Right to be Forgotten（忘れられる権利）」とも言われます。2014年からEUで認められていて、日本でも既に裁判で争われているようです（関連記事）。

GDPRがEUで採択されたのは約2年前ですが、施行までの2年間で個人データ取り扱いがずいぶんと重要視されるようになりました。特に、数カ月前明らかになったフェースブックのデータ不正共有疑惑（関連記事）は、アメリカ大統領選への影響もあったと疑われています。これからますます、企業が個人データを取り扱うことは増える一方と考えられており、GDPRのような法整備が他の国々でも進むのか注目です。

個人データと言えば…

最近またダイエットを再開しました！　2年前のダイエットの効果は少しはあったのですが、また気が付いたら……。そこで、カロリー摂取・消費を計算してくれるアプリMyFitnessPalとFitbitを使っていますが、これに入力する個人情報は半端じゃないなと思います。何を食べて何を飲んだか、どこを走ったか/歩いたか、どんな運動をして、どのように体重が変動したかがすべて記録されているのですから。仮名で登録しても、位置情報で住所はバレバレです。そう思うと、GDPRのような厳しい規制で企業を信頼して商品やサービスを利用できることって、大切だなと思います。