一般データ保護規則またはGDPRは、EU市民の個人情報を保護するための規則です。EU全域におけるデータの機密性に関する法律を標準化させ、EUおよびEU域外の企業における個人データの処理および管理方法を変えます。 GDPRは、1995年に導入されたEUデータ指令を置き換えたもので、2018年5月に施行される予定です。

いいえ、EU市民の個人データを収集したり処理したりするすべての企業、EUの個人に物品やサービスを提供する企業がGDPRの対象となります。

GDPRは、業界特有の規則ではありません。クラウド展開、オンプレミス型のデータ処理とストレージの両方に適用されます。

• 個人データ 個人を特定する、または個人を特定できるデータを指します。この中には、氏名、ID番号、位置データ、オンラインID、個人の身体的、生理的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに特有な要素が含まれます。

• 管理者 個人データの処理の目的と手段を決定する個人、団体または公共機関です。

• データ主体 管理者が処理する個人データ、または管理者に代わって処理される個人データに関連する当該個人です。

• 処理者 管理者に代わって個人データを処理する個人、団体または公共機関です。

GDPRには、規則を概説する７つのデータ処理原則があります。これらの原則は、すべてEUでの個人情報の保護に関するものです。

• 合法性、公正性および透明性 企業は、データを合法、公正、透明性のある方法で処理しなければならない。

• 目的制限 企業は、正当な収集理由とデータ主体に伝える目的以外で、データの処理を行わない。

• データの最小限性 データ処理において、明言した目的を達成するために収集するデータ量は、最小限に限定する

• データの正確性 収集したデータが管理者の管理下にある限り、正確な状態を保たなければならない。不正確なデータは、削除または訂正する。

• 保管制限 企業は、必要とされる期間を超えた場合、データを保管しない。

• 完全性および機密保持 処理は、適切な技術と組織的な安全対策を講じた方法、および不正または偶発的な開示や毀損を防ぐ方法で行う。

• 責任 処理者への委託を含む、上記の原則の遵守に対する責任は管理者が負う。

GDPRに基づく個人データ保護措置を適切に行わない企業は、2千万ユーロの罰金または全世界の年間総売上高の4%までの罰金を課される可能性があります。これらの罰金は、個人に対する補償に追加されます。その他の考えられる影響に、データフローの停止または制限、公式な戒告、風評被害などがあります。

いいえ、広範におよぶ基準や要件を設ける一方で、GDPRが特定の技術やプロセスまたはシステムを指定することはありません。企業は、規則の遵守に使用する技術や組織的な手段を選択できます。

企業は、OnBaseエンタープライズ情報プラットフォームを利用し、GDPRコンプライアンスへの取り組みを支援するソリューションを構築できます。すぐに使用できるさまざまな機能、柔軟な設定オプション、組み込まれたセキュリティコントロールといった特長によって、変化し続けるデータ機密性を取り巻く環境に対応することができます。詳細は、こちらからご確認いただけます。