EUの一般データ保護規則、今月下旬にスタート 20
十分な個人データ保護を実施していない国日本 部門より
2018年5月25日より、EUで「一般データ保護規則(GDPR:General Data Protection Regulation)」が発効される。GDPRは欧州経済領域(EEA)内の個人に関するデータを保護するためのもので、対象となる個人データを十分な個人データ保護を実施していない国に移動させる場合には当事者との契約(標準契約条項、SCC)による合意やデータ取り扱いのための体制を構築する必要がある。ちなみに、日本は十分な個人データ保護を実施していない国とされているとのこと(NTTデータ先端技術による解説記事)。
対象となる個人データには氏名やメールアドレスなどのほか、IPアドレスやCookieなどのオンライン識別子、さらに「身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因」なども含まれているとのことで、非常に範囲は広い。また、EEA内の居住者だけでなく旅行者や短期滞在者も対象で、EU内に拠点を持つ企業だけでなくEUに商品やサービスを提供している企業などもGDPRの遵守義務があり、違反時には多額の制裁金が課せられる(TechReublic、DIGIDAY、Slashdot)。
この新しい規制は、ユーザーのプライバシーは保護されるものの、ヨーロッパで事業を展開する企業にとっては悪夢となる。さまざまな企業がGDPRへの対応に苦慮しているが、最も単純な方法で対応策を提示している企業もある。それは、EUユーザーのWebサイトへのアクセスをブロックするという方法だ。このサービスを提供するGDPR Shieldは一気に注目され、サイトにアクセスしにくい状況となっている(Web Archive)。