EU一般データ保護規則(GDPR)は、個人データの取扱いに関する共通ルールをEUで定め、個人の権利保護とデータの自由な流通を両立させる規則です。2018年5月25日から適用され、EUに拠点を持つ組織だけでなく、EU域内の人に商品・サービスを提供したり行動をモニタリングしたりする域外企業にも及びます。日本企業でも、EU居住者の個人データを扱う業務では適用対象になり得るでしょう。
GDPRでは、透明性の確保、目的の限定、必要最小限の収集、正確性、保存期間の制限、安全管理などの原則を守ることが求められます。加えて、処理の根拠は同意だけに限られず、契約の履行、法的義務、重大な利益、公的任務、正当な利益といった法的根拠のいずれかに整理して説明できる状態が必要です。根拠と目的の説明が曖昧だと、後から利用目的を広げにくくなります。
個人には、情報提供を受ける権利、開示、訂正、消去、処理の制限、異議申立てなどの権利が用意されています。データ管理者(コントローラー)は権利行使の窓口を整え、期限内に回答できる手順を運用に組み込むべきです。データ処理者(プロセッサー)は管理者の指示に従いながら、権利対応や安全管理のための情報提供・支援を行う役割を担います。違反の内容によっては、最大で1,000万ユーロまたは全世界売上高の2%相当、さらに重大な違反では2,000万ユーロまたは4%相当の行政罰金が科され得ます。
