GDPR(EUデータ保護規則)は2016年に制定され、2018年5月25日に施行がスタートします。
これまでEUは、「EUデータ保護指令」という指令に基づいて個人情報の管理をしてきましたが、それがGDPRに置き換えられるという形になりました。
従来のデータ保護指令とGDPRには、どのような違いがあるのか解説します。
【GDPR】EUデータ保護規則とEUデータ保護指令の違い①
まず1つめの大きな違いは、「法律」と「指令」という違いです。
GDPRはEU域の中で統一された「法律」として施行されます。
つまり、EU域の国々は1つの法律に従って、個人情報の管理や保護を行うことになります。
一方従来のEUデータ保護指令は、法律ではなく「指令」です。
「このようなルールで個人情報を保護しなさい」というものではなく、「EU各国は個人情報を保護するための対策を講じなさい」というものなのです。
そうなると、EU各国はEUデータ保護指令に基づいて個人情報の保護・管理対策を講じるものの、国によって内容にはバラつきが出てしまいます。
細かい法律は国によって異なるので、結果的にオペレーションが非常に難しいという問題が生じたのです。
GDPRは法律としてルールを一元化することで、EU各国の個人情報保護・管理への対応がスムーズになるように施行されています。
【GDPR】EUデータ保護規則とEUデータ保護指令の違い②
EUデータ保護指令の場合、指令の対象になるのはEU域に本社や事業所を構えている企業だけでした。
つまり、EU域と取引をしている他国の企業などは指令の対象外だったのです。
一方GDPRは、規則が適用される範囲が広く、EU域と取引をしている企業や、EU域の個人情報を取り扱う企業が全て対象になっています。
そのため、各企業は自社がGDPRの対象になるのか早急に精査して、規定を遵守するための準備が必要になったのです。
日本の企業も例外ではないのはそのためです。
もちろんGDPRは法律として制定されたものなので、EUデータ保護指令とは違い、違反した企業には罰則が設けられています。
これも「法律」と「指令」という違いがあるからこそでしょう。
GDPRでは規定に違反した企業に対して、企業全体の年間売上金額の4%、または2,000万ユーロという高額の罰則金が定められています。
さらに個人情報の漏洩などがあった企業は、監督当局へ72時間以内に報告しなくてはいけないという細かい報告義務も伴います。
個人情報の安全が特に重視されるようになった昨今、GDPRは従来のEUデータ保護指令よりも、企業が危機感と責任感を持てるような法律としての機能が期待されています。
まとめ
GDPRのようなルールを遵守することももちろん大事ですが、各企業は自発的に個人情報の保護体制を強化し、継続的にルーティーン化することが求められます。
業種に関わらず、企業に取得をおすすめするのはJAPHIC(ジャフィック)マークなどの「第三者認証マーク」です。
マークを取得している企業は、個人情報の管理体制がしっかりと整っており、適切に保護されていることが証明されます。
個人情報の管理能力に優れているということをアピールするのは、対企業、対顧客にとっても非常に重要なことです。
従業員に個人情報保護の重要性を植え付けることにも繋がるので、企業は取得して損はありません。
