欧州では本日5月25日からGDPR（一般データ保護規則）が本日から施行されたので、個人情報管理の承認に関するメールの処理が終わっていない人も多いようです。企業や団体側の個人情報処理の新しいポリシーに承認しないと、メーリングリストから自分のメールアドレスの登録が自動的に削除されてしまう場合もあります。

これは、どの団体や企業のニュースレターに登録したか忘れてしまったような人にはとても便利です。GDPRは、企業側反対側の負担はかなり重いものですが、ユーザーにとってはかなり利便性の高いものだということがわかります。

さて、GDPRの施行によって影響があるのは、企業や団体と顧客の関係だけではありません。雇用者と従業員の間にも大きな変化が訪れます。

従業員が「subject access request」（SAR)と呼ばれる申請を行った場合、雇用者は要求があってから30日以内にメールやFAX、手紙などその従業員に関する個人情報を集めて提示しなければなりません。

この個人情報にはメールだけではなく、業績評価、採用の際の面接の記録、給料明細、出退勤記録、コンピュータのアクセス・ログ、監視カメラの映像、電話の録音とありとあらゆるものが含まれます。

ただし例外もあり、その企業におけるトレードシークレット（企業の財産的価値のある秘密情報）や企業のリストラや合併に関すること、また弁護士との機密性の高いやりとり、健康に関する情報、納税や犯罪捜査に関係した情報です。

英国の場合、これまでもデータ保護法の下で従業員にはこのような情報を要求する権利がありましたが、GDPRによりその要求がもっと簡単になります。

以前は、このような情報を要求するのには企業側は10ポンドの費用請求をする権利があり、情報提供するには40日から30日の猶予がありました。ところがGDPRの場合は、英国の情報保護法よりもさらに要求が厳しく罰金額も莫大です。

中小企業であっても大企業であっても、従業員に関するありとあらゆる情報をきちんと管理しておかなければならないわけですから、その事務処理の手間は相当なものになります。

情報管理がルーズな会社の場合、従業員のパスポートの記録をなくしてしまったり、出退勤記録もきちんと保存していないこともありますが、そういった対応は今後は許されないということになるわけです。

また、この従業員の個人記録には、メールや監視カメラの映像すらも含まれます。例えば企業の管理職がある従業員の勤務態度が良くないといった意見を交換しあったり、ジョークをやり取りしても、従業員から要求があった場合、全て公開されるわけですから、こそこそと悪口を言うのにも大変なリスクが発生する、ということです。