はじめまして GDPR 〜概要と用語紹介 Part.1 〜

2019.11.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

この記事は、 GDPR 対応を行う現場の担当者が GDPR について学習中の内容をまとめたものです。
専門家による正しい見解ではない点にご注意ください。

少しものものしい書き出しですみません。
秋が終わり、冬が始まろうとしているのに食欲が止められないかめです。

今回は、現在、私が学習中の GDPR の概要や用語について、自分の理解を深める目的で記事にしてみることにしました。
内容については、専門家に確認を取ったものではなく、あくまで私の理解なのでご注意ください。

GDPR とは?

General Data Protection Regulation(日本語訳:一般データ保護規則)の略で EU の個人情報取り扱いに関する法律です。
個人情報データを取り扱う場合、データ取扱者に対し、以下のようなことを行うよう要求しています。


※こちらは、要求事項の一例です。

私は、この法律はユーザに安心してサービスを利用してもらうためにある、ユーザとサービス提供者相互のための法律と考えました。

みなさんの中には、どこがサービス提供者のための法律なんだよ…と思った方もいらっしゃるかもしれません。
この法律は、違反した場合の罰則金が多額で、要求事項もかなりユーザよりの目線で作られているように見えましたが、私はそれでもサービス提供者に対しても良い法律だなと思いました。
多額の罰則金は、見方を変えれば、それだけ痛手を負うのなら口約束ではなくちゃんとやってくれるだろうと見えるのかなと思います。

というのも、どこかで情報漏洩やセキュリティに問題があるという報道がされると自分自身だけでなく、友人も、その企業の他のサービスは大丈夫なんだろうかと思ったり、利用をやめたりすることがあるからです。
私の周りでは、 IT にあまり詳しくない人ほど、よくわからないけどとにかく怖いと感じて、ネットでの会員登録などを嫌がる傾向があるように思います。
そもそも使ってもらえなければ、サービスを継続することも難しくなってきますね。

GDPR がうまく機能して、最低限ここまではやってくれている、不安があっても申し立てして状況を確認する権利があるというところまでユーザに伝われば、よくわからないけど怖いという理由でサービスの利用自体を避けられてしまうケースは減るんじゃないかなと思い、結果的にサービス提供者から見ても自分のためになりそうと考えました。

また、 GDPR では、個人情報取り扱い方法に問題がないか定期的に見直す仕組みや、変更に伴うリスクについて事前に協議することなども要求をしているので、今後、社会や技術の状況などが変わっても安心・安全を継続しやすいのかなと思いました。
ちなみに、日本でも ISMS や P マークなどで似たような要求事項はあるので、私個人としては、 GDPR が特別、無理難題を言っているのではなく、個人情報を取り扱う上で当たり前に行うべきことなのかなと思っています。

GDPR の要求事項

法律なのでちょっと読みにくいですが、 GDPR の要求事項については、個人情報保護委員会が条文を和訳しています。
原文も併記されているので、もし、和訳がわかりにくいところがあったとしても併せての参照ができます。

一般データ保護規則の条文 - 個人情報保護委員会

GDPR の用語紹介 Part.1

先ほどご紹介した 一般データ保護規則の条文(和訳)では、「データ主体」など、少し意味がわかりにくい用語があります。
用語については、第 4 条に定義がありますが、やはり法律言葉で少し難しいので、簡単に意訳してご紹介したいと思います。
今回は Part.1 ということで、「データ主体」と「個人データ」です。

ちなみに、私自身、まだざっと一通り読んだレベルなので、間違っているところがあればコメントでお知らせください。

データ主体とは?

GDPR でおそらく再頻出単語ではないかと思われる「データ主体」という言葉があります。
これは、個人情報データの本人のことを表しています。

個人データとは?

読んで字のごとく、保護対象の個人情報のことです。
GDPR における個人データの定義は、日本の個人情報保護法の定義と同様で「生存する個人(データ主体)に関する情報のうち、一つまたは複数を参照することで個人を特定できる(直接的か間接的かは問わない)情報」となっています。

氏名や住所などはもちろんですが、 SNS への投稿や個人で所有している PC の IP アドレスなども対象になるようです。

最後に一言

今回は、ざっくりとした GDPR の概要とデータ主体、および個人データの定義についての記事でした。
私が担当している prisimatix では、お客様が EC サイトをグルーバル展開なさるケースもあるので、私たちも日々、 GDPR や CCPA といった各国の注意が必要な事項などについて情報収集と運用の再確認などを行なっています。

私個人としては、まだまだ学習を始めたばかりですが、勉強してわかったことが増えてきたら、ちょっとずつブログで整理して理解を深めていきたいなーなんて考えています。