Salesforce Trust


一般データ保護規則 (GDPR)

2018 年 5 月 25 日施行

GDPR 対応に向けた準備

2018 年 5 月 25 日より、欧州連合 (EU) における新しい個人情報保護の枠組である一般データ保護規則 (GDPR) が適用されます。GDPR は、EU 内の個人のためにデータ保護を強化し、EU の個人情報をマーケティング、追跡、または処理するすべての組織に新たな義務を課すものです。Salesforce では、堅牢な個人情報保護およびセキュリティ保護を通じて、顧客企業の GDPR 遵守を支援します。

Salesforce の顧客企業として GDPR に対応するための準備
この法規に適合するための準備についての詳細は、GDPR ホームページを参照してください。

詳細はこちら

GDPR の概要

GDPR とは?

GDPR は、急速な技術の発展、グローバリゼーションの拡大、国境を越えた個人情報の流れの複雑化を踏まえ、既存の法規を改定して個人情報の保護を強化することを目的として策定された、EU における新しい包括的なデータ保護法規です。これにより、データ保護の断片化を招いた現行のデータ保護指令は置き換えられ、EU 加盟国に同一に直接効力を有する 1 つの規則が適用されることになります。

GDPR は、EU 居住者の個人情報の収集または使用、保存、転送を含む情報の処理を規制するものです。オンライン アクティビティの追跡を含め、EU 居住者の個人情報を処理する組織は、EU 圏内に拠点があるかどうかに関わらず、この法規の適用を受けます。重要なのは、GDPR の下では、「個人情報」という概念が広範で、特定された、または特定可能な個人 (「データの主体」) に関するすべての情報が適用対象になることです。

この新しい法規に対応するために必要なセキュリティ対策

組織は、不正な処理や偶発的な開示、アクセス、消失、破損または改ざんから個人情報を保護するために適切な技術的・組織的なセキュリティ対策を講じる義務を負います。使用事例や処理対象の個人情報に応じて、個人情報を保護するためにデータの分離、暗号化、仮名化、匿名化が推奨 (場合によっては必須と) されます。

個人情報を保護するための対策として組織が講じる必要がある対策は次のとおりです。

  • 暗号化: 必須ではありませんが、GDPR では、個人情報のセキュリティと機密を保護するには暗号化を有効な方法として推奨しています。
  • 仮名化: GDPR では、データのセキュリティと個人の権利を保護するためのリスクベースの対策として、仮名化を使用することを推奨しています。
  • 匿名化: 匿名化は、仮名化からさらに一歩踏み込むもので、個人情報を保護するための最も安全な方法です。真の意味で匿名とみなされるためには、以降の処理または他の情報との組み合わせが施された場合でもデータから個人を特定することが不可能でなければなりません。
  • 説明責任: GDPR の下では、情報管理者 (Data Controller) が GDPR の要求事項を遵守して個人情報が管理されるようにする責任を負います。これには、データ保護責任者 (Data Protection Officer) の任命、情報処理者 (Processor) への契約上の義務の賦課、「プライバシー バイ デザイン」および「プライバシー バイ デフォルト」の原則の適用が含まれます。さらに、情報管理者は、処理アクティビティの記録の保存やプライバシー影響評価の実施を含む、要件遵守の証拠を示す責任も負います。

    GDPR によれば、情報管理者はデータ侵害があった場合には、データ主体に対する被害が発生すると思われない場合を除き、できるだけ早急 (侵害を発見してから 72 時間以内) に、各加盟国のデータ保護局に届け出る必要があります。データ主体に対する被害が発生する可能性が高い場合は、情報管理者はデータ主体にできる限り早急にデータ侵害について知らせる必要があります。また、情報処理者もデータ侵害が見つかった場合には、できる限り早急に情報管理者に知らせる義務を負います。
 
Trailhead

EU のプライバシー法の基本

詳細はこちら