EUでは、2018年5月25日から、プライバシーに関してここ20年で最大の変化となる「GDPR（General Data Protection Regulation：一般データ保護規則）」が施行されます。

「規則」となっていますが、EU加盟国においてはEUの「規則」は国内法と同等なので、加盟国は従わなければなりません。EUを離脱するイギリスもITに関してはEUの「規則」に沿うのでGDPRが適用されます。

さて、このGDPRとは何かというと、EU加盟国に住んでいる人が、自分の個人情報を持っている企業や団体が、自分の個人情報を適切に管理することを要求できる「決まり」です。

「要求できる」という表現だけみると、他の地域の個人情報保護とあまり変わりない気がするのですが、細部を見ていくと違います。

・EUのユーザーに対してビジネスを行う企業や団体にも適用

・個人情報に住所や名前だけではなく、写真やIPアドレス、メールや個人を特定できるソーシャルメディアの投稿を含む

・企業や団体はきちんとした目的がなければ個人情報を集めてはならない

・ユーザーは企業や団体が集めた自分の個人情報を開示せよと要求できる

・ユーザーが要求したら企業や団体はその人の個人情報を削除しないとならない（「忘れられる権利」の実行）

・企業や団体はユーザーの個人情報を集める場合、ユーザーから「承認」を得なければならない

・企業や団体は情報漏えいがあった場合、ユーザーに72時間以内に通知する

・規則違反の企業の罰金は最大で2000万ユーロ（約26億円）、もしくは年間の全世界での売上の4％

どうでしょうか。なかなか強烈な内容だと思いませんか？　日本の胡散臭いソーシャルゲーム会社やオプトインメールをやっているような会社なら即違反になりそうですね、、、。

GDPRの施行以前に加盟国各国には個人情報保護法があり、例えばイギリスの場合はData Protection Act（情報保護法）があったわけですが、GDPRの要求の方が遥かに厳しく、企業や団体に対して恐ろしく厳しい内容になっています。これは他の国でも同じです。

次回の記事ではGDPRの画期的な点に関してご説明します。