Show Menu
トピック×

GDPR に関するよくある質問

This document provides answers to frequently asked questions about the General Data Protection Regulation (GDPR) and its implementation in Adobe Experience Cloud.
このドキュメントで使用される GDPR 関連の用語の定義については、「 GDPR の用語 」の記事を参照してください。

GDPR は誰に影響を与えますか?

GDPR は、企業の地理的な場所に関係なく、EU 加盟国内の市民の個人データを保存および処理するすべての組織に適用されます。

コンプライアンス違反に対する罰則は何ですか?

GDPR に違反する組織は、グローバル年間収益の最大 4% または 2,000 万ユーロのいずれか大きい方の金額が罰金として科せられます。これは、データの処理に対して顧客の同意を十分に得ていないことや、プライバシーバイデザインの中核概念の侵害など、最も重大な侵害に対して科せられる最大の罰金です。
罰金には段階的なアプローチが存在します。例えば、記録の不備がある場合( 第 28 条 )、違反に関して監督機関やデータ主体に通知しない場合、または影響評価を行わない場合、企業は最大 2% の罰金が科せられます。これらの規則は、データ管理者とデータ処理者の両方に適用され、「クラウド」は GDPR の適用を除外されないことに注意する必要があります。

個人データとは何ですか?

個人データとは、自然人またはデータ主体に関する(個人を直接的または間接的に特定するために使用できる)情報です。個人データは、名前、写真、電子メールアドレス、銀行口座の詳細、ソーシャルネットワーキング web サイト上の投稿、医療情報、コンピューターの IP アドレスなどである場合があります。

データ管理者とデータ処理者の違いは何ですか?

データ管理者 ​は、個人データを処理する目的、条件、手段を決定する主体であり、 データ処理者 ​は、データ管理者に代わって個人データを処理する主体です。

データ主体の明示的な同意とあいまいでない同意の違いは何ですか?

GDPR は、データ主体の有効な同意の条件を強化しています。企業は理解し難い規約を提示できなくなり、同意を求める要求を、理解しやすくて容易にアクセスできる形式で提供する必要があります。要求にデータ処理の目的を明確に記述して、データ主体から同意を得る必要があります。
明示的な同意 ​は、平易な言葉で記述された、他の事項と明確に区別できるものであることに加えて、理解しやすくて容易にアクセスできる形式で提供される必要があります。また、同意の撤回は、同意の提供と同じくらい簡単である必要があります。明示的な同意は、「オプトイン」が必要な機密性の高い個人データの処理に対してのみ要求されます。ただし、重要でないデータの場合は、 あいまいでない同意 ​が許容されます。

16 歳未満のデータ主体は同意を提供できますか?

オンラインサービスに関しては、16 歳未満の子供の個人データを処理する場合、親の同意が必要です。加盟国は、より低い年齢の子供の同意を得るための法律を制定できますが、13 歳未満に対しては不可です。

規制と指令の違いは何ですか?

規制 ​は、拘束力のある法的措置であり、EU 全域にわたって適用する必要があります。 指令 ​は、EU 加盟国すべてが達成する必要がある目標を掲げた法的措置ですが、その達成方法は個々の加盟国が決定します。
GDPR は、以前の法令(データ保護指令)とは異なり、規制であることに注意する必要があります。

データ保護担当者を任命する必要がありますか?

次の場合、組織は DPO (データ保護担当者)を任命する必要があります。
  • 組織が公的機関である
  • 組織が大規模な組織的監視に携わっている
  • 組織が機密性の高い個人データの大規模な処理に携わっている

GDPR は、データ漏洩に関するポリシーにどのような影響を与えますか?

データ漏洩に関する規制案は、侵害された企業の通知ポリシーに主に関連しています。個人をリスクにさらす可能性のあるデータ漏洩は、データ保護機関に 72 時間以内に通告され、影響を受ける個人にも遅滞なく通知される必要があります。