日本企業がGDPRにより摘発

こんばんは。
個人的に企業のパーソナルデータの利活用には興味があるのですが、欧州のGDPRという法律はご存じでしょうか？

EU一般データ保護規則 - Wikipedia

日本には個人情報保護法という、個人情報を取り扱う際に従うべき法律がありますが、GDPRはより一層厳格であると言われている法律です。

主な規則例として以下のような事項があります。

・本人が自身の個人データの削除を個人データの管理者に要求できる
・自身の個人データを簡単に取得でき、別のサービスに再利用できる（データポータビリティ）
・個人データの侵害を迅速に知ることができる
・個人データの管理者は個人データ侵害に気付いた時から72時間以内に、規制当局へ当該個人データ侵害を通知することが求められ、また、将来的には本人への報告も求められる。
・サービスやシステムはデータ保護の観点で設計され、データ保護されることを基本概念とする
・法令違反時の罰則強化
・監視、暗号化、匿名化などのセキュリティ要件の明確化

出所：日立ソリューションズHP

適用範囲は以下の通りなので、各企業において自社が該当するかご確認いただければと思います。

本規則は、データ管理者（EU居住者からデータを収集する組織）、または、処理者（データ管理者の代理としてデータを処理する組織）または、データの主体（個人）がEU域内に拠点をおく場合に適用される。さらに本規則は、EU居住者の個人データを収集または処理する場合は、EU域外に拠点をおく組織にも適用される。

出所：Wikipedia「EU一般データ保護規則」

つまり、事業所がEU域内にある、または、EU居住者の個人情報を扱っている場合は該当します。

現実的には、国内のみで事業されている企業様は影響がないとは思います。
顧客の中にEU居住者がいらっしゃる場合は要注意です。

以外、ご紹介する記事では、日系企業（正確にはその子会社）が摘発されたという内容です。

日本企業がGDPRの摘発対象に　顧客システムの情報漏洩で制裁金

具体的には、NTTデータのスペイン子会社の顧客である、保険会社が顧客情報を漏洩させたそうで、NTTデータスペイン側にも問題があるという判断のようです。

今後、パーソナルデータはビジネス価値を生み出す源泉になると思っております。

マーケティングにおいては顧客1人ひとりのパーソナルデータに沿ったパーソナルマーケティングを行う例であったり、政府主導の情報銀行の例など、今後もパーソナルデータ利活用のユースケースが出てくるかと思います。

事業者様が国内の個人情報保護法やGDPRに即し、法律・セキュリティといったリスク管理を行えるよう、しっかりとサポートしていければと思っております。