GDPRの発効まであと2週間となりましたが、いまだに何が起こっているのか疑問に思っている方が大勢いらっしゃいます。この記事では、GDPRを最もシンプルな形で説明しています。
ほとんどの人が、自分の組織がGDPRに準拠している、あるいは準拠に向けて努力しているというメールを受け取ったことがあると思います。GDPRとは何でしょうか?読んでみましょう...
データ・プライバシー」は、データ漏洩やハッキングの時代に大きな問題となっています。ソーシャルメディアの出現により、個人情報はどこにでもあるものになりました。組織は、個人がウェブサイトにログインするために、名前、生年月日、電子メールアドレス、写真などの個人情報を入力することを要求します。また、オンラインショッピングでは、クレジットカードの番号を入力する必要があり、これらの番号が将来使用するために保存される可能性があります。これらのデータは企業のサーバーに保存されます(保存期間は問いません)。また、データは企業から企業へと移動し、個人はそのデータを知ることも管理することもできません。何も知らないユーザーは、自分の個人情報が第三者や、主要企業が取引している他の企業に「販売」されることに同意するかもしれません。
多くの個人情報が組織内に散らばっている状況では、市民の個人情報が企業に収集されるのは当然のことです。ユーザーは、誰が自分の情報を持っているのか、そしてそれに対して何が行われているのかを知らない。 さらに、毎日のように自分の個人情報が漏洩したというニュースが流れてくる。今、ユーザーは自分のデータについてさらにわからなくなっています。誰が自分のデータに不正にアクセスしたのか?それに対して何が行われているのか?目に見えない不届き者が、オンラインでもオフラインでも自分を追いかけているのか?EUで5月25日の夜明けを迎えれば、こうした状況は一変します。
2018年5月25日のことです。
さて、2018年5月25日には何が起こるのでしょうか?この日は「GDPR」が施行される日です。GDPRとは?知らない人のために説明すると、GDPRは「Global Data Protection Regulation」の略です。この日は、欧州連合の市民にとってデータ保護が現実のものとなる日です。GDPRは、欧州連合の市民が自分のデータをよりコントロールできるようにするものです。ここでは、GDPRの顕著な特徴を紹介します。
- 最初に、GDPRの地理的な範囲が示されています。GDPRのコンプライアンスの範囲を定義する上で、曖昧さはありません。GDPRのコンプライアンスは、EUで活動するすべての組織に適用されます。また、企業の所在地に関わらず、EU市民のデータを処理するすべての企業にも適用されます。GDPRの条件が記載されているのは 絶対零度 の方法があります。
- 処理者」と「管理者」の概念が定義されました。管理者とは、取得した個人データの処理者を管理することに取り組む組織です。処理者とは、管理者である組織のデータを処理することに対処する組織です。 GDPRでは、「データ管理者」と呼ばれる管理者にも一連の責任があります。データ管理者」は、責任ある「データ処理者」またはGDPRに準拠した処理者を雇用しなければなりません。
- 巨大なペナルティ は、GDPRに準拠していない組織に課せられます。組織には 4%までの罰金 全世界の年間売上高の20%または20百万ユーロ(いずれか大きい方)。
- 現在、企業が個人データを保持できる期間を定義する必要があります。これが、「個人情報保護」の概念です。データ保持'.ユーザーは、自分のデータが組織のサーバーに保持される期間をコントロールします(14ヶ月または16ヶ月など)。指定された期間が過ぎると、データは永久に削除されなければなりません。
例として、Googleアナリティクスのサイトにはこんな記述があります。"Google アナリティクスのデータ保持コントロールでは、Google アナリティクスによって保存されたユーザーレベルおよびイベントレベルのデータが、アナリティクスのサーバーから自動的に削除されるまでの時間を設定することができます。"これは、'忘れられる権利これは、データのプライバシーを向上させるための大きな一歩となります。 - 企業は、ユーザーのデータの使用に関する条件を、シンプルで理解しやすい方法で綴らなければなりません。GDPRでは、複雑な法律用語を使う余地はありません。'透明性は、新法の下では非常に重要です。ユーザーの同意は、ユーザーがすべての条件を理解した上で初めて得られます。
- 万が一、ユーザーデータが漏洩するような事態が発生した場合、組織には 72時間 を関係者に通知します。
- 個人または「データ主体」は、自分の個人データがどのように使用されているかを知る権利があります。また、自分のデータのどの部分が使用されているかを知る権利があり、同じものを電子形式で入手することができます。 これが「データ主体」の「アクセス権」です。
GDPRへの準備はできていますか?
新しいGDPRの下でデータプライバシーが全面的に見直されることになり、企業はデータの処理と保持の方法を変えなければなりません。以下の通りです。 本レポートとはいえ、GDPRに完全に対応できている組織は11%に過ぎず、33%はほぼ対応できているとのこと。すべての組織が100%の準備を整えられるでしょうか?それは、2018年5月25日に明らかになります。
____
Kolabtreeのブログに書いてみませんか? 連絡先!