一般データ保護規則(ジェネラルデータプロテクションレギュレーション)とは | 意味や読み方など丁寧でわかりやすい用語解説

一般データ保護規則（General Data Protection Regulation、以下GDPR）は、欧州連合（EU）で施行されている個人データの保護と取り扱いに関する包括的な規則である。これは、個人の基本的な権利としてデータ保護を強化し、EU域内におけるデータ流通のルールを統一することを目的としている。システムエンジニアを目指す者にとってGDPRの理解は不可欠である。なぜなら、この規則はEU域内に拠点を置く企業だけでなく、インターネットを通じてEU域内にいる個人に商品やサービスを提供したり、その行動を追跡したりする日本企業にも適用される可能性があるからだ。これを「域外適用」と呼び、グローバルなサービス開発において無視できない要素となっている。

GDPRが保護の対象とする「個人データ」とは、個人を直接的または間接的に識別できるすべての情報を指す。氏名、住所、メールアドレス、電話番号といった基本的な情報はもちろん、IPアドレス、Cookie識別子、位置情報、オンライン上の行動履歴なども含まれる。さらに、人種や民族的出自、政治的見解、宗教、遺伝子データ、生体認証データ、健康に関するデータなどは「特別カテゴリの個人データ」として定義され、原則としてその処理が禁止されるなど、より厳格な保護が求められる。

GDPRは、個人データを処理する際の基本原則を定めている。第一に「適法性、公正性、透明性」の原則があり、データ処理は適法な根拠に基づいて、データ主体である本人に対して公正かつ透明性のある方法で行われなければならない。第二に「目的の限定」の原則により、データは特定の明確な目的のためにのみ収集され、その目的と両立しない形での二次利用は許されない。第三に「データ最小化」の原則は、目的達成に必要な範囲にデータを限定することを求める。第四の「正確性」の原則は、データを常に正確かつ最新の状態に保つことを義務付ける。第五に「保存期間の制限」として、目的達成に必要な期間を超えて個人を識別できる形でデータを保存してはならない。第六に「完全性および機密性」の原則に基づき、不正アクセスや漏洩からデータを保護するための適切な技術的・組織的対策が求められる。最後に「説明責任」の原則があり、データを扱う企業（データ管理者）は、これらの原則を遵守していることを自ら証明する責任を負う。

GDPRは、データ主体である個人に強力な権利を保障している。これらはシステムに実装すべき機能要件に直結する。「アクセス権」は、自分の個人データがどのように処理されているかを確認し、その写しを請求できる権利である。「訂正権」は、不正確なデータを訂正させる権利、「消去権（忘れられる権利）」は、データが不要になった場合などに消去を要求できる権利である。「処理の制限権」は、データの正確性に争いがある場合などに、一時的に処理を停止させる権利を指す。「データポータビリティ権」は、利用者が自身のデータを構造化された形式で受け取り、他のサービスへ自由に移行できる権利である。また、「異議を唱える権利」により、ダイレクトマーケティングなどの特定のデータ処理に対して反対することができる。

企業側には、これらの原則と権利を遵守するための具体的な義務が課せられる。特にシステム開発に関連が深いのは「設計段階からおよびデフォルトでのデータ保護（Data Protection by Design and by Default）」という考え方である。これは、システムやサービスを設計する初期段階からプライバシー保護を組み込み、デフォルト設定で個人データが最大限保護されるようにすることを要求するものである。また、個人の権利に高いリスクを及ぼす可能性のある処理を行う前には、「データ保護影響評価（DPIA）」を実施し、リスクを評価・軽減する措置を講じなければならない。個人データの侵害が発生した際には、原則として72時間以内に監督機関へ報告し、本人へのリスクが高い場合は本人にも通知する義務がある。大規模なデータ処理を行う組織などでは、専門家である「データ保護オフィサー（DPO）」の任命も必要となる。

GDPRの最大の特徴の一つは、その違反に対する厳格な制裁金である。違反の程度に応じて、全世界年間売上高の4%または2000万ユーロのいずれか高い方を上限とする巨額の罰金が科される可能性がある。このため、企業はGDPRの遵守を経営上の重要な課題として捉える必要がある。システムエンジニアは、自身が関わるシステムがEU域内の個人のデータを取り扱う可能性があるかを常に意識し、GDPRの要求事項を理解した上で、セキュアでプライバシーに配慮した設計・開発を行うことが強く求められる。