GDPRが定義する「個人データ」と、注意すべき“グレーゾーン”とは:IPアドレスやSNSの投稿も対象に
EUの「一般データ保護規則」(GDPR)が定義する個人データの範囲は広い。個人を直接または間接的に識別可能な、さまざまな種類のデータが含まれる。
欧州連合(EU)の「一般データ保護規則」(GDPR)が2018年5月25日に施行される。「EU居住者であれば誰でも、自身の個人データが保護される権利を有する」ことを定めた規則だ。
このGDPRは、企業が顧客の個人データを収集、保存、使用する方法を制限する。顧客は自身の個人データが収集されることを拒否できる。収集後のデータについての事実を確認したり、企業のデータベースからの個人データ消去を要求したりすることも可能だ。
併せて読みたいお薦め記事
「GDPR対策」についてもっと詳しく
- Appleが「GDPR」級のプライバシー保護機能を全ユーザーに iOS 11.3に搭載
- いまさら聞けない「GDPR」(一般データ保護規則)の真実 “罰金2000万ユーロ”の条件は?
- 一般データ保護規則(GDPR)の主な要件を満たすために、どこから手を付ければいい?
GDPRが求める「データ保護責任者」(DPO)とは
GDPRが定義する個人データは、個人を特定するために直接または間接的に使用可能な、幅広い情報を含む。EUのGDPRに関するポータルサイト「EUGDPR.org」のFAQ(よくある質問)ページによると、個人を特定する情報は、例えば以下が該当する。
- 氏名
- 写真
- メールアドレス
- 銀行の口座情報
- ソーシャルネットワーキングサービス(SNS)への投稿
- 生体情報
- 個人PCのIPアドレス
IPアドレスを個人データと見なすべきかどうかについては、議論の余地がある。だがEUの立法者は、GDPRではIPアドレスを個人データと見なすと定めた。使用しているIPアドレスから、個人を特定することが可能なためだ。
あらゆる個人データは、GDPRのデータ処理規則に従って処理しなければならない。この規則は、合法的かつ透明性のある方法で個人データを処理するよう企業に求める。収集後のデータは、明確かつ正当な目的で使用される必要がある。個人データの収集は、ビジネス上の妥当性がある場合のみに限定される。
GDPRの個人データの定義には、企業がドキュメントを通じて明確にしなければならない“グレーゾーン”がある。
Copyright © ITmedia, Inc. All Rights Reserved.