💻 ITパスポート | ストラテジ系 / 法務
GDPRとは?
EU(欧州連合)が制定した個人データ保護の最強ルール。
「あなたのデータはあなたのもの」を法律で守る。
🎬 こんなシーンを想像
日本の会社がEU在住のユーザーにサービスを提供していたら、ある日「
私のデータを全部削除してください」とEU在住ユーザーからメールが来た。断れるの?
…GDPRが適用されると、どうしなければならない?
🇪🇺 GDPRの全体像
🔑 データ主体(本人)の主な権利
忘れられる権利
自分のデータの削除を請求できる。企業は原則として消去しなければならない。
データポータビリティ権
自分のデータを別のサービスへ持ち出せる。CSV等で受け取る権利。
アクセス権
自分のデータをどう使われているか確認できる。企業は開示しなければならない。
処理制限権
データの利用を一時停止するよう要求できる。
⚠️ ひっかけ注意ポイント
日本の「個人情報保護法」と混同しやすい
個人情報保護法は日本国内の法律。GDPRはEUの法律だが、EU域内の人のデータを扱う限り、日本企業にも適用される。企業の所在地でなく「誰のデータか」が基準。
「EU企業だけに適用」は誤り
EUに拠点がなくても、EU在住者にサービス提供・行動監視をしていれば対象。日本のEC事業者でもEU向け販売があればGDPR適用。
違反制裁金の数字は覚える
「最大で年間売上の4%または2,000万ユーロの高い方」という基準が試験に出る。非常に高額な制裁が特徴。
🧠 覚え方(無理やりゴロ)
GDPR=ゴツい(G)データ(D)防護(P)ルール(R)
EU発・全世界に適用・違反したら超高額罰金
ゴロ:「ジーデーピーアール=EUの盾(全世界のデータを守る)」
「忘れさせろ」「持ち出させろ」「見せろ」が3大武器