一般データ保護規則(GDPR)とは何ですか?
一般データ保護規則(GDPR)は、欧州連合(EU)に住んでいる個人からの個人情報の収集と処理に関するガイドラインを設定する法的枠組みです。 規制はウェブサイトの場所に関係なく適用されるため、EU居住者に商品やサービスを特に販売していない場合でも、ヨーロッパの訪問者を引き付けるすべてのサイトに注意する必要があります。
GDPRは、EUの訪問者に多くのデータ開示を与えることを義務付けています。 サイトは、個人データが侵害された場合のタイムリーな通知など、EUの消費者の権利を促進する措置も講じる必要があります。 2016年4月に採択されたこの規制は、2年間の移行期間の後、2018年5月に完全に施行されました。
GDPRの顧客サービス要件
規則に基づき、訪問者はサイトが収集したデータを通知され、同意ボタンまたはその他のアクションをクリックして、その情報収集に明示的に同意する必要があります。 (この要件は、サイトがサイトの設定や設定などの個人情報を保持する小さなファイルである「Cookie」を収集する開示の遍在的な存在を主に説明しています。)
また、サイトは、サイトが保持している個人データのいずれかが侵害された場合、タイムリーに訪問者に通知する必要があります。 これらのEU要件は、サイトが所在する管轄区域で要求される要件よりも厳しい場合があります。
また、サイトのデータセキュリティ、および専任のデータ保護担当者(DPO)を雇う必要があるか、既存のスタッフがこの機能を実行できるかどうかの評価も義務付けられています。
訪問者がEUデータの権利を行使できるように、DPOや他の関連スタッフへの連絡方法に関する情報にアクセスできる必要があります。 (当然、このようなリクエストを実行できるようにするには、サイトでスタッフやその他のリソースも追加する必要があります。)
一般データ保護規則(GDPR)のその他の規則と義務
GDPRは、消費者をさらに保護するために、サイトが収集する個人を特定できる情報(PII)を匿名化(用語が示すように匿名で表示)または仮名化(消費者のIDを仮名に置き換え)することも求めています。 データの仮名化により、企業は特定の地域における顧客の平均債務比率の評価など、より広範なデータ分析を行うことができます。これは、貸付の信用度を評価するために収集されたデータの本来の目的を超えた計算になる可能性があります。
GDPRは、顧客から収集されたデータ以外のデータにも影響します。 最も注目すべきは、おそらく、規制は従業員の人事の記録に適用されます。
GDPRに関連する論争
GDPRはいくつかの四半期に批判を集めています。 DPOを任命する、または単にその必要性を評価するという要件は、一部の企業に不当な管理上の負担を課すと言う人もいます。 また、従業員データをどのように扱うのが最善かについてのガイドラインが曖昧すぎると不満を言う人もいます。
さらに、EUが要求するのと同程度の保護を受信会社が保証しない限り、データをEU以外の別の国に転送することはできません。 これは、ビジネス慣行に対する費用のかかる混乱についての苦情につながりました。
データ保護の脅威と救済策について顧客と従業員を同様に教育する必要性が高まっているため、GDPRに関連するコストが時間の経過とともに増加するというさらなる懸念があります。 また、EUおよびそれ以降のデータ保護機関が規制の施行と解釈を調整し、GDPRがより効果的に機能するように公平な競争環境を確保できることについても懐疑的です。