GDPR(EUデータ保護規則)の条件を満たすための対策は、「条件を満たすための手順を理解する」ことから始まります。
GDPR(EUデータ保護規則)を守るためにしっかりと対策を練らないと、もし違反した場合2,000万円ユーロ、もしくは年間売上高の4%を支払うという厳しい罰則があります。
GDPR(EUデータ保護規則)の条件を満たすための対策・手順①自社はGDPRの対象になるのか把握する
まず1番最初は、やはり自分の企業がGDPR(EUデータ保護規則)の対象企業なのかを理解することから始まります。
GDPR(EUデータ保護規則)の対象企業は、大きく分けて以下の2種類に分けられます。
データ管理企業
個人情報を処理する方法、目的を決める企業。
EUの企業に商品を販売し、個人情報を集める企業などが該当する。
データ処理企業
個人情報の処理をする企業。
小売業者の代わりに、EUの個人情報を主体としたメールの送信などを行う企業が該当する。
GDPR(EUデータ保護規則)の条件を満たすために、まず自社がこれらの企業に該当しているか理解することも対策の1つです。
GDPR(EUデータ保護規則)は、たとえ日本国内の企業であっても「EUの個人情報を主体に管理、処理している企業」であれば遵守しなければいけません。
GDPR(EUデータ保護規則)の条件を満たすための対策・手順②個人情報の定義を理解する
GDPR(EUデータ保護規則)の条件を満たすための対策として、多くの企業が悩まされる問題があります。
それが、GDPR(EUデータ保護規則)における「個人情報の定義」です。
これを理解していなければ、知らず知らずの間にGDPR(EUデータ保護規則)に違反してしまうという可能性もあります。
GDPR(EUデータ保護規則)が個人情報と位置付けているのは、「個人を直接的または間接的に特定出来るあらゆる情報」です。
その一部が以下の項目です。
氏名
メールアドレス
個人の写真
SNSに投稿された文章
ID番号
IPアドレス等
GDPR(EUデータ保護規則)を完全に遵守するための対策は、これらの情報の管理方法、収集方法、保存方法を明確にすることでもあります。
個人情報の定義を理解するだけで終わってしまうと、いつか必ず企業内で管理状態において混乱を招くことになるでしょう。
また、これらの個人情報をどのように社内で扱うか、またどのように社外に持ち出すかというスキームの確立も求められます。
GDPR(EUデータ保護規則)は、あらゆる角度から個人情報の安全性を考慮して、計画性を持って条件を満たさなければいけないのです。
まとめ
もし自社がGDPR(EUデータ保護規則)の対象企業なのであれば、まずはその遵守に向かって、上述で解説したようなプロセスを踏んでいくことを考えましょう。
もちろん自社がGDPR(EUデータ保護規則)の対象ではないからといって、個人情報をぞんざいに扱っていいということではありません。
もし取得していないのであれば、個人情報が正しく管理されている企業の証明である「第三者認証マーク」の取得を目指しましょう。
個人情報を厳しく管理し、他社からも信頼される体制を作り上げてこそ、胸を張って安全性が高い企業だとアピールすることができるのです。