用語集

「一般データ保護規則（GDPR：General Data Protection Regulation）」とは、1995年に適用された「EUデータ保護指令」に代わる形で、2016年4月に制定・2018年5月に施行された個人データの取得・取扱いについて定めた欧州連合（EU）の法令（ルールや規制）のこと。

欧州委員会は、この規則によってEU域内のすべての個人のデータ保護を強化し統一することを目的としています。また、GDPRではEU域外への個人データの移転についても定められています。

GDPRが定める新たなデータ保護体制では、EUデータ保護法の適用対象が拡大され、EU域内居住者のデータを処理するすべてのEU域外企業も適用対象となりますので、日本企業も対象となるケースがあります。GDPRでは、こうした域外企業が域内の法令を順守しやすくなるよう、EU加盟国間のデータ保護法令の調和が図られています。一方で違反については厳格な規定が設けられており、「最大で全世界売上高の4%」という高額な課徴金が課される可能性もあります。

GDPRでは、EU市民が自身の個人データをコントロールできる状況を確保するとともに、域内の法令を統一することで国際企業の規制環境を簡素化することが主な目的となっています。2018年5月25日の施行後は、現行のEUデータ保護指令に代わってGDPRが適用されます。

既に多くの企業では、情報セキュリティやプライバシーの重要性を認識しており、個人データの管理や保管の期間を通して個人データの利用可能性や完全性、機密性を確保するためにベストプラクティスを実践しようとしています。

GDPRの要求事項を認識し、データ管理者あるいはデータ処理者である企業にどのような影響があるかを検討するためには、GDPRコンプライアンス戦略が必要となります。

こうした戦略では、通常、以下のような部門横断的なチームが編成されるほか、戦略を監督する「データ保護責任者（DPO：Data Protection Officer）」が任命される場合もあります。多くの会社では、GDPRの要求事項を順守することが、世界に通用する国際的なデータプライバシー管理を行ううえでの最低限の基準になると考えられています。

図）部門横断的なチーム編成とデータ保護責任者（DPO）の位置づけ

詳しくはこちらの記事も参照ください。
https://infogov-labo.jp/articles/what-is-gdpr/