【World Topics】GDPR始動
公開日時 2018/07/17 03:50
2018年5月25日、EUの新しい個人情報保護法the General Data Protection Regulation (GDPR)が始動した。
GDPR施行以前は、規制対象は、EU内で個人情報を収集あるいは使用する組織、あるいはEU内に個人情報処理装置を置いている組織のみに限定されていた。が、GDPRの施行によって規制対象はEU内に居住する個人の情報を取り扱う組織全般に拡大され、EU内で個人の行動をモニターしたり、あるいはEU内で個人にサービスや商品を提供する組織のすべてが、その組織の所在地を問わず、規制対象となることとなった。
GDPRはあらゆる個人情報を対象とするだけでなく、直接間接を問わず個人を特定できる情報のすべて、たとえば人種、宗教・信条、政治的立場、業界組合等への加入の有無、遺伝子情報、生体情報、健康状態に関わる情報、性別あるいは性生活に関わる情報なども規制の対象とする。
すでに明らかだが、GDPRは個人情報全般に対する規制法であるから、規制対象とする組織についても、規制対象とする情報についても米国のthe Health Insurance Portability and Accountability Act (HIPAA) よりはるかに広範である。今後EU内ではこれが医療情報にも適用される。
GDPRの規制はさらに個人情報取り扱いの「環境」条件にも及ぶ。HIPAAが主として個人情報の使用と開示を規制しているのに対し、GDPRは個人情報を処理する上での条件を厳しく規制するとしているのであるが、この処理(process)という概念には広く解釈すればデータの収集、記録・保存、整理・構造化、変更、さらにはあと利用から削除までのすべての処理が含まれる可能性があり、今後の動向が注目されている。
GDPRに関する最新情報はEU GDPR Information Portal (https://www.eugdpr.org)で得られる。(医療ジャーナリスト 西村由美子)