EEA(欧州経済領域:EU加盟国+ノルウェー、アイスランド、リヒテンシュタイン)を対象にした個人データ(Personal Data)保護を目的とした法規則。EEA域内に所在する組織と取引のある組織すべてを同規則の対象としている。
2016年5月24日制定、2018年5月25日から適用開始され、EEA域内で取得した個人データの域外への移転は原則禁止となっている。
データ管理者にはさまざまな義務を課しており、違反に対しては高額な制裁金が課される。これまで(2024年1月時点)の最高額は2023年5月にMetaに対して課された12億ユーロ。日本企業では、2022年11月にNTTデータが6万4,000ユーロの制裁金を課されており、これが日本企業初の制裁金事例となった。
GDPR第4条において、個人データは以下のように定義されている。「個人データとは、識別された又は識別され得る自然人(以下「データ主体」という)に関するあらゆる情報を意味する。識別され得る自然人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、または当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一つ、もしくは複数の要素を参照することによって、直接的にまたは間接的に、識別され得る者をいう」
上記の定義から想定される個人データは、氏名、識別番号、所在地データ、メールアドレス、オンライン識別子(IPアドレス、Cookie)、クレジットカード情報、パスポート情報、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因などが挙げられるほか、複数のデータを組み合わせることで個人を特定できるデータも個人データとして扱われる。
用語「GDPR」 が使われている記事の一覧
全 21 記事中 1 ~ 21 を表示中
