GDPR（EU一般データ保護規則）

GDPR（EU一般データ保護規則）は、EU在住者のプライバシー保護に関する新たな規制です。EUでは、現在もEUデータ保護指令の下で厳格な個人データ保護を求められていますが、2018年5月施行予定のGDPRにおいては、さらに下記のような要件が定められています。

1. 大規模に個人データを取扱う企業・団体は、所定のスキルや権限を有した個人データ管理保護責任者を設置するとともに、プライバシー影響評価の実施体制を整備しなければなりません。
2. EU域内在住者の個人データが漏えいした場合、監督当局に対して72時間以内に報告しなければなりません。
3. 個人データの取り扱いについて、一定の記録を作成・保管しなければなりません。
4. 引き続き、EU在住者の個人データをEU域外へ国際移転することは原則禁止です。
5. 本人の同意取得と証跡の保存に関する要件が更に厳しくなり、関連業務の見直しが必要です。

EU域外の企業・団体であっても、EU域内在住者に対して商品またはサービスを直接提供している場合などは、上記の規制が適用されます。

万一上記の規制に違反した場合、最大で2000万ユーロまたは前年売上・収入額の4%のいずれか高い方を上限とする制裁金が科せられますので、対象となる企業にとって対応は必須のこととなっています。