EUは25日、個人情報保護を大幅に強化する「一般データ保護規則(GDPR)」を施行した。1995年の「データ保護指令」に代わる新規則はデジタル時代に対応した個人情報保護を実現するため、個人データの取り扱いに際して事業者が守るべき義務や消費者の権利、違反した企業に対する罰則などを定めている。
GDPRはEU28カ国とノルウェー、リヒテンシュタイン、アイスランドの計31カ国で構成する欧州経済地域(EEA)の個人情報保護を目的とした規則。国内法への転換が必要な指令と異なり、加盟国に対して直接的な拘束力を持つ規則が施行されると域内でデータ保護ルールが一元化されるため、複数の国で事業展開する企業はこのうち1カ国で各種手続きを行えば済むようになり、大幅なコスト削減につながる。一方、EUルールの域外適用が拡大され、域内に拠点を置く企業だけでなく、EU市民に商品やサービスを提供したり、EU市民の行動をモニターしている域外の企業も全て規制の対象となる。
新規則によると、顧客などの個人情報を大量に扱う事業者は情報管理を徹底するため、社内にデータ保護担当役員を置くことが義務付けられる。顧客情報がインターネット上で公開されるといったトラブルが発生した場合、事業者は72時間以内に各国のデータ保護当局に報告しなければならない。
域外へのデータ移転に関してはこれまでと同様、個人情報の保護措置が十分に確保されているとEUが認定した国以外への移転は原則として禁止される。たとえば日本企業が国内でEU加盟国の顧客や従業員のデータを扱う場合、個人情報の「域外移転」とみなされるが、日本は「十分性」の認定を受けていないため、グループ企業内で情報を移転するための「拘束的企業準則」の承認を受けるか、EUの定める標準契約(モデル契約)を締結するなどの措置が必要になる。
新規則にはこのほか◇ネット上で公開された名前や写真などの個人情報について、本人がいつでもSNS、検索サービス、ウェブサイトなどの事業者にデータの削除や訂正を要求できる「忘れられる権利」を導入する◇16歳未満の子どもがSNSやゲームなどのオンラインサービスを利用する際、保護者の同意を得ることを事業者に義務付ける――などが盛り込まれている。
新規則では違反した企業への罰則が強化され、最大2,000万ユーロまたは世界における年間総売上高の最大4%のいずれか高い額が制裁金として科される可能性がある。
GDPRの施行に伴い、25日には欧州から米国の新聞社のサイトにアクセスできない状態に陥った。閲覧できなくなったのはシカゴに本社を置くトロンク(旧トリビューン・パブリッシング)が発行するロサンゼルス・タイムズ、シカゴ・トリビューン、オーランド・センチネルなど。同日までに新規則への対応が間に合わず、一時的に閲覧停止の措置を取ったものとみられる。
一方、GDPRの施行に合わせて大手IT企業を訴える動きも出ている。オーストリアの活動家マックス・シュレム氏は、グーグルやフェイスブックなどがポップアップ画面でユーザーにデータ利用に関する「同意を強要している」と主張。新規則に違反するとしてフランス、ドイツ、ベルギー、オーストリアの監督当局に不服を申し立てた。