EU 内で個人データを処理する企業は、データ保護ポリシーを作成する必要があります。データ保護について法律には何と規定されていますか？法律には何と規定されていますか？企業はデータ保護責任者 (DPO) を指定する必要がありますか？この記事では、データ保護に関する最も重要な質問に対処するとともに、規制に準拠する方法について説明します。

目次

• 個人データとは
  
• 個人データ処理とは
  
• 個人データ保護に対応する現在の規制はどのようなものですか。
  
• 一般データ保護規則 (GDPR) の原則はどのようなものですか。
  
• GDPR に必要なこと
  

個人データとは

個人データ (「個人情報」とも呼ばれる) とは、個人を直接または間接的に識別できる情報です。個人データには、名、社会保障番号、電話番号、メールまたはインターネットプロトコル (IP) アドレス、インターネットの動作、写真などが含まれます。匿名化されたデータ (個人を特定する可能性を排除したデータ) は個人データとは見なされません。会社などの法人に関連するデータについても同様です。

個人データ処理とは

個人データ処理とは、個人データに適用される多数のプロセスを指します。これらのプロセスには、データの回収、記録、整理、保管、変更、コンサルティング、抑制、抽出、普及、削除などが含まれます。これらの活動は、コンピューター化することも、しないこともできます。

データ処理の例としては、顧客のファイルの管理、見込み客の連絡先情報の回収、IP アドレスの保存などがあります。多くの場合、企業が処理する個人データは、顧客、サプライヤー、見込み客、従業員、および採用候補者に関連するものです。

個人データ保護に対応する現在の規制はどのようなものですか。

2018 年 5 月 25 日以降、(一般データ保護規則(GDPR) は、EU 内のデータ収集回収と管理のフレームワークとして機能しています。GDPR は、EU 内で個人データを処理するすべての公的機関と民間企業の規制を標準化しています。関連する主な事業体は次のとおりです。

• スタートアップ、中小企業、大企業、団体、専門職組織、公的機関など、EU内で設立されたOrganizations

• 欧州市民を対象とする外国企業

• 他の事業者に代わって個人データを回収および管理する処理業者

たとえば、中国在住でフランスで個人の個人データを処理する会社は、GDPR に準拠する必要があります。

フランスにおける個人データ保護の責任者

情報処理および自由に関するフランス国家委員会 (CNIL、Commission nationale de l’informatique et des libertés) は、公的機関および民間団体が回収した個人データの保護を監督しています。CNIL は、適用される規制に準拠する企業をサポートし、準拠しない企業を制裁する責任を負います。

一般データ保護規則 (GDPR) の原則はどのようなものですか。

GDPR は複数の原則に基づいています。個人データの処理は、合法的、透明、一時的、安全である必要があり、必要な場合にのみ行われる必要があります (データの最小化など)。各原則の詳細は以下のとおりです。

• ** 合法的な目的 **
  個人データが処理されるたびに、それを正当化する 法務根拠 が必要です。したがって、企業は、具体的で正当な目標なしに個人データを回収することはできません。

• ** 透明性 **
  すべての個人は、自分の権利とデータが回収されていることを知らされる必要があります。企業が個人の権利の実現を促進することが重要です。

• ** データ最小化 **
  企業は、これらの目標を達成するために厳密に必要とされるデータのみを回収する必要があります。

• ** 期間限定 **
  データストレージの期間には、終了日を設定する必要があります。企業は、データストレージに関する明確なポリシーを作成する必要があります。

• ** セキュリティ **
  企業は、回収した個人データを保護するためにセキュリティ対策を実装する必要があります。

メモ: ビジネスに代わって個人データを処理する処理業者も、GDPR に準拠する必要があります。

GDPR に必要なこと

GDPR では、会社は情報を回収する個人に情報と透明性を提供することが義務付けられています。そのためには、会社は同意を取得し、顧客の権利の実装を促進し、処理台帳を維持し、データセキュリティを保証する必要があります。

個人への通知

会社は、回収する個人データをすべての個人に通知する必要があります。情報は明確に伝え、以下を含める必要があります。

• 代行業者の身元と連絡先情報 (管理者など)

• 処理の理由

• 処理の正当性を示す法務根拠 (個人の同意、契約の締結、法務要件など)

• データ回収の必須またはオプションの性質

• 個人データの受取人

• データ保存期間

• 顧客の権利

• CNIL に請求する権利

• EU 域外へのデータ移転の有無 (該当する場合)

情報が不足していると、個人事業主は 1,500 ユーロ、企業 は 7,500 ユーロ以下の罰金が科せられます。企業は、データ回収時、その後の変更時、または 1 か月の合理的な遅延 (間接的なデータ回収など) 以内に通知する必要があります。

同意の取得

また、ビジネスが以下を行う場合は、顧客の同意を得る必要があります。

• クッキーを使用する

• プロモーションメール を送信する

• 機密性の高い個人データを回収する

• データを他の目的で再利用する

複数の目的がある場合、顧客はすべての目的に対して独立した同意をできるようにする必要があります。ビジネスは、デフォルトでオンになっているチェックボックスを使用することはできません。

注: 同意がない場合、5 年の懲役、個人事業主の場合は 30 万ユーロ、企業の場合は 150 万ユーロの罰金が科せられる可能性があります。

個人の権利の保証

企業は、データを処理する個人の権利を尊重する必要があります。これには、アクセスの権利、訂正の権利、忘れられる権利、処理に異議を申し立てる権利、データポータビリティの権利が含まれます。企業は、個人が簡単に権利を行使できるようにすることが重要です。

処理活動の書面による記録の維持

処理活動の記録は、完了したすべての活動に関するインサイトを得ることができます。従業員数が 250 人を超える企業では、書面による記録の維持が義務付けられています。

データの安全性の確保

データセキュリティを保証するための堅牢なメカニズムを作成することが重要です。ビジネスは以下の戦略を実施できます。

• 顧客認証とアクセス制限の義務化

• アクティビティの追跡を可能にする日次ログシステム

• 自動ロック、ファイアウォール、ウイルス対策ソフトウェア、仮想プライベートネットワーク (VPN)

• 日常的に使用しないデータの定期的なバックアップとアーカイブ

StripeCheckout をウェブサイトに直接導入して、顧客データのセキュリティを強化できます。Checkout では、顧客の 支払いデータ の入力と再利用が円滑になり、クレジットカードの機密データも法令遵守の下で管理できます。

その他の義務

企業が個人データを大規模に処理する場合、DPO の指定が必要になる場合があります。さらに、企業の処理活動によって顧客の権利と自由に対するリスクが高まると、データ保護影響評価(DPIA) が必須になります。

個人データが EU 域外で転送される場合 (中国の子会社や外国の請負業者に転送されるデータなど)、企業は欧州委員会に許可をリクエストする必要があります。企業がデータを送金するには、妥当性に関する決定を下す必要があります。