2018年05月16日 05時00分 公開
特集/連載

IPアドレスやSNSの投稿も対象にGDPRが定義する「個人データ」と、注意すべき“グレーゾーン”とは

EUの「一般データ保護規則」(GDPR)が定義する個人データの範囲は広い。個人を直接または間接的に識別可能な、さまざまな種類のデータが含まれる。

[Bridget Botelho,TechTarget]
画像

 欧州連合(EU)の「一般データ保護規則」(GDPR)が2018年5月25日に施行される。「EU居住者であれば誰でも、自身の個人データが保護される権利を有する」ことを定めた規則だ。

 このGDPRは、企業が顧客の個人データを収集、保存、使用する方法を制限する。顧客は自身の個人データが収集されることを拒否できる。収集後のデータについての事実を確認したり、企業のデータベースからの個人データ消去を要求したりすることも可能だ。

 GDPRが定義する個人データは、個人を特定するために直接または間接的に使用可能な、幅広い情報を含む。EUのGDPRに関するポータルサイト「EUGDPR.org」のFAQ(よくある質問)ページによると、個人を特定する情報は、例えば以下が該当する。

  • 氏名
  • 写真
  • メールアドレス
  • 銀行の口座情報
  • ソーシャルネットワーキングサービス(SNS)への投稿
  • 生体情報
  • 個人PCのIPアドレス

 IPアドレスを個人データと見なすべきかどうかについては、議論の余地がある。だがEUの立法者は、GDPRではIPアドレスを個人データと見なすと定めた。使用しているIPアドレスから、個人を特定することが可能なためだ。

 あらゆる個人データは、GDPRのデータ処理規則に従って処理しなければならない。この規則は、合法的かつ透明性のある方法で個人データを処理するよう企業に求める。収集後のデータは、明確かつ正当な目的で使用される必要がある。個人データの収集は、ビジネス上の妥当性がある場合のみに限定される。

 GDPRの個人データの定義には、企業がドキュメントを通じて明確にしなければならない“グレーゾーン”がある。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news144.jpg

オフライン広告の効果可視化とマーケターの働き方改革に向け、サイカとインテージが業務提携
サイカとインテージは業務提携を行い、オフライン広告の効果測定における汎用的な分析ソ...

news027.jpg

電通など3社、“人”基点でコンテンツマーケティングを高度化する「People Driven Content Marketing」を提供
電通と電通デジタル、サイバー・コミュニケーションズの電通グループ3社は、“人”基点で...

news014.jpg

スマホサイトのユーザビリティ 業種別1位は通信、企業別では?――トライベック・ストラテジー調査
トライベック・ストラテジーとトライベック・ブランド戦略研究所は、「スマートフォンユ...