「EU 一般データ保護規則(GDPR)」の解説 〜 ITパスポート R5年 問18 〜

EU 一般データ保護規則(GDPR)とは？

EU 一般データ保護規則（GDPR：General Data Protection Regulation）とは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことです。（2018年5月25日施行）

GDPR（General Data Protection Regulation）は、2018年5月25日に欧州連合（EU）によって施行された法律になります。EU市民の個人データの保護とプライバシーを強化するための規則です。なお、GDPRでは、個人データのプライバシー保護を重視し、企業や組織に対して適切なデータ保護措置を講じる責任を課しています。このことで、EU市民の信頼を向上させることを目指しています。

GDPRの主な目的では、個人データの取り扱いに対して透明性を確保し、個人データの収集、処理、保存、転送などの活動に対してユーザーにより多くのコントロールを提供することになります。この規則は、EU内の個人データを取り扱うすべての企業、組織、機関に適用されますが、EU以外の企業であっても、EU市民のデータを取り扱う場合には規則の対象となります。

GDPRの主な要点は以下になります。

• 個人データの取り扱いの正当な理由を持つことが要求されます。
• 個人データの収集に際して、明確な同意が必要になります。
• 収集された個人データは、特定の目的のみに使用される必要があります。
• データの正確性と最新性を維持するための措置が必要です。
• 個人データの保管期間について明確なポリシーを定める必要があります。
• EU市民は、自分のデータにアクセスし、修正したり、削除したりする権利を持っています。
• データ漏洩が発生した場合は、当局に報告が必要です。

日本でも個人データを扱うための法律「個人情報保護法」がありますが、GDPRは、日本の個人情報保護法よりも厳格なルールが定められています。GDRPでは、IPアドレスやcookieなど端末識別子も個人を特定する情報とみなし、個人情報として取り扱われます。データを利用する際は、ユーザーから明確な同意を得る必要があるなど、厳格な管理体制が必要となります。

GDPRは、ルールに則い管理が厳格に必要になります。もし、違反の申し立てが認められた場合は、企業や組織は、数10億円規模の莫大な罰金が課せられる可能性があります。

---

一般データ保護規則(GDPR)に関する問題（令和5年問18）

EUの一般データ保護規則(GDPR)に関する記述として，適切なものだけを全て挙げたものはどれか。

  a. EU域内に拠点がある事業者が，EU域内に対してデータやサービスを提供している場合は，適用の対象となる。

  b. EU域内に拠点がある事業者が，アジアや米国などEU域外に対してデータやサービスを提供している場合は，適用の対象とならない。

  c.  EU域内に拠点がない事業者が，アジアや米国などEU域外に対してだけデータやサービスを提供している場合は，適用の対象とならない。

  d.  EU域内に拠点がない事業者が，アジアや米国などからEU域内に対してデータやサービスを提供している場合は，適用の対象とならない。

　ア.  a 　イ.  a，b，c     ウ. a,  c   エ.  a,  c,   d

出典：令和5年度 ITパスポート試験公開問題 問18

正しいと思う選択肢をクリックしてみてください！！！