2018年5月25日、欧州連合(EU)で「一般データ保護規則(General Data Protection Regulation, GDPR)」が施行されました。
GDPRは、EU加盟国に欧州3か国を加えたEEA(欧州経済領域)区域内31か国に所在する全ての個人データの保護を目的とするもので、非常に広範で厳格な規制が課されています。
日本の中小企業やEEA域内に拠点がない企業は無関係かというと、そうではありません。
この法律の規制は、EEA域内の個人データを処理するほぼ全ての組織に及び、事業規模の大小や、本社がどこの国に所在するかは関係ありません。
さらに、個人の名前や住所などはもちろん、IPアドレスやクッキーといったインターネットにおける情報まで幅広く規制の対象に含まれます。
規制の対象となるのは、EEA域内の個人データを処理・移転する行為です。
たとえば、EEA居住者が日本のWEBサイトから商品を購入するためにクレジットカードの番号や電話番号を送信した場合や、日本の旅館やホテルがEEA域内からの予約を受け付けて顧客情報を管理するような場合も規制の対象になることになります。
GDPRの規制に違反すると、最高で世界売上高の4%または2000万ユーロ(約26億円)のうちいずれか高い方という桁違いの金額の制裁金が科されます。
日本では2017年に個人情報保護法が改正されたことは記憶に新しいですが、中国でも「サイバーセキュリティ法」が施行されるなど、個人データ保護規制の厳罰化は世界的な流れになっています。
いまや、個人情報の管理は大企業だけの問題ではありません。
いま一度、自社の個人情報保護の体制について見直してみてはいかがでしょうか。
お問い合わせはこちら
