公開日 2018年04月20日
EU一般データ保護規則(GDPR)5月施行
基本的人権を保護
欧州連合(EU)の「一般データ保護規則(以下、GDPR)」が2018年5月25日から施行される。GDPRは個人データの保護と自由な流通に関する規則だ。「市民の基本的権利と自由、個人データ保護の権利を守る」(第1条2項)ことを最大の目的として、条文の中では “市民”の権利が細かく規定されている(下表)。
個人データの定義 |
識別された又は識別され得る市民に関するあらゆる情報 氏名/識別番号/位置データ/オンライン識別子/物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに関する要因 |
説明責任 |
管理者は適切な個人データ保護指針の採択、およびその実行を含め、GDPR の要件を確実に遵守し、かつそれを実証できなければならない。 |
遵守実証の対策 |
内部記録、データ保護責任者の選任(義務がある場合)他 |
市民の権利の尊重 |
情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティ(自分のデータを持ち運びできる)権利、異議権、および自動的な個人の意思決定に関する権利 |
(「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック<入門編>を参考に協会が作成) |
日本では、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」が5月12日に施行される。医療分野では、個人単位の被保険者番号を記載した健康保険証の導入、ビッグデータやマイナンバーの活用など、個人データの使い道が幅広く論議されている。しかし、個人データ保護の権利については未整備であり、個人情報の利活用が先行している状況だ。
GDPRは、EEA(欧州経済領域)域内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などでEEA所在者の顧客情報を取得・移転する場合、適用対象となる。EEA域内で経済活動を行う日本企業の多くが対応を迫られている。
日本においても、個人情報の自己コントロール権を保障する法体系を早急に整備すべきだろう。
(『東京保険医新聞』2018年4月15日号掲載)