一般データ保護規則（GDPR）とは

2018年5月に発効したEUの一般データ保護規則（GDPR）は、ヨーロッパのデータ セキュリティを根底から変える、この20年間で最⼤の変化であると言われています。EU域内で事業を展開する、またはEU域内で商品やサービスを提供する、あらゆる組織が適用対象となります。

GDPRがまず目指しているのは、新しいデータ収集・保存・処理方法の導入によって、個人が自分自身の情報をより有効にコントロールするための手段を提供することです。これによって多国籍企業は、データの取り扱いに関して、新しい厳密な規則（GDPRの原則）に従うことを義務付けられます。

GDPRの原則

個人に関して順守するべきGDPRの原則には、「忘れられる権利」、データ ポータビリティ、プロファイリングの拒否などがあります。このうち1つ目は、本人の要求に応じて個人データを削除すること、2つ目は、要望があれば1つのエンティティから別のエンティティにデータを移行させることに関するものです。もう1つの新しい要件は、個人データへの（不正）アクセスが発生した場合、目的や期間に関わりなく本人に通知するというものです。いずれも、データ セキュリティの確保を目的としたものです。

GDPRは、ヨーロッパを「デジタル時代に適合」させる目的で、欧州委員会により制定されました。このため同規制では、インターネット電話やインスタント メッセージを始めとして、オンライン通信チャネルを広く網羅するとともに、これらチャネルを介したマーケティングに関する追加規則も導入しています。IPアドレス個人データも考慮されています。GDPRの条項に違反した場合、最高2,000万ユーロまたは年間取引高の4%のうち、いずれか多いほうの額が罰金として科されます。