.png){kind=spacer}
EU一般データ保護規則(GDPR)政策は、世界で最も厳しいプライバシーおよびセキュリティに関する法律の1つです。この法律は、2018年5月25日に欧州連合(EU)によって起草され、可決されたものではありますが、EUに関連するデータを収集したり、EUのグループを対象にしたりする限り、世界中の組織に規制を課しています。GDPRの規制違反者には、プライバシーとセキュリティの基準違反に対して多額の罰金が科せられ、罰金は最大2000万ユーロに達する可能性があります。
GDPRは、基本的にはEU加盟国のデータプライバシー法を統一するために導入されたものであり、テクノロジーの発達が世界を動かす中で、個人のデータ保護の権利を大幅に強化させることもその目的に加えられています。全99条に及ぶGDPRの法令は、米国カリフォルニア州の消費者プライバシー法に類似した点が多くあります。EUのGDPR規則は、個人データ、データ処理(自動または手動)、ウェブサイトの顧客などのデータ主体、データ管理者、データ処理者(EUの組織に代わって作業するサードパーティの処理者を含む)など、広範囲の情報を対象としています。個人データは、欧州で事業を展開している企業や欧州への進出を検討している企業にとって最大の制約となっており、中でも労働組合への加盟に関する個人情報、遺伝情報や生体情報、健康情報や健康データに対する規制が厳しくなっています。2021年7月には、アマゾンがEUの個人情報保護規制に違反したとして、7億5600万ユーロの罰金を科せられました。
また、個人データのプライバシーに関する規制については、大企業と中小企業では若干の違いが見られます。250人以上の従業員を抱える企業の場合、GDPR規則の第30条に基づき、従業員のデータが何のために、どのように収集され、処理されているのか、また、そのデータがどのくらいの期間保管されるのかを文書で証明する必要があります。従業員数250人未満の企業については、企業にとって一時的な出来事以上のデータ活動についてのみ文書化するだけでよく、それには、データ主体の権利にリスクをもたらす可能性があるもの、犯罪歴や犯罪行為のデータなどの特定のカテゴリーの個人データが含まれます。
2018年にEUでGDPR規制が施行された際、各加盟国にはGDPRと並行して独自の規制を設ける機会が与えられました。これにより英国ではデータ保護法(2018年)が制定・施行されました。この規制は英国の従来の1998年データ保護法に取って代わるもので、EUで既に発効しているGDPR規制を補完することで、英国の組織、企業、政府による個人情報の使用方法を制限するものです。
