欧州連合(EU)では25日から、「一般データ保護規則(General Data Protection Regulation:GDPR)」の適用が開始された。
GDPRは個人情報保護を目的としたもので、EU加盟28カ国にノルウェー、アイスランド、リヒテンシュタインを加えた欧州経済領域(EEA)域内で取得された「氏名」や「メールアドレス」、「クレジットカード番号」などの個人データを処理し、EEA域外の第三国に移転するために満たすべき法的要件を規定している。違反行為に対しては高額の制裁金が課せられるリスクが発生する。
欧州では2011年に、当時ウィーン大学法学部の学生だったマックス・シュレムス氏が、フェイスブックを相手取り、自分自身について保存されている個人情報の公開を請求、同社に対してプライバシーの侵害を訴えたのを皮切りに、SNS利用を通しての個人情報流出が繰り返し裁判沙汰となっていた。
今回新たに施行されたGDPRは、フェイスブックやグーグルなどの大企業だけでなく、EEA域内に現地法人・支店・駐在員事務所などを置くすべての企業・団体・機関が適用対象となる。また、現地に拠点がなくてもインターネットなどを通じてEEA域内と個人データをやり取りすれば対象となり、同域内の言語または通貨を利用して商品・サービスの提供を行なっている場合は、日本の企業や団体・機関でも対応が必要となる。特に、EEA域外への個人データの移転は原則として違法とされるため、この点が要注意だ。
これまでEUでは、1995年に制定されたEU指令に基づいてEU加盟国ごとに個人情報保護関連法があったが、これはインターネットが普及する前に制定されたものだった。このたび、デジタル社会に適合した個人データ保護規定としてGDPRが2016年5月24日に発効し、2年間の移行期間を経て2018年5月25日に適用開始となった。
(写真はイメージ)