スクールも要注意！GDPRとは？

GDPRは、「General Data Protection Regulation」という言葉の頭文字を並べたものです。
日本では「EU一般データ保護規則」と訳されます。
EU（欧州連合）とアイスランドやノルウェー、リヒテンシュタインを含む欧州経済領域（European Economic Area ＝ EEA）で2018年5月25日から施行された個人データの保護を目的とした規制です。
GDPRにより、EU圏の国ごとに存在していた個人情報保護法が一本化されました。

もし、違反すると最高で全世界売上高の４％もしくは2000万ユーロ（約27億円）のいずれか高い金額が制裁金として課せられます。
世界で最も厳しいプライバシー保護法と言われています。

GDPR施行の背景には、膨大な個人情報を握り、独占的な力を持つ4社GAFA（グーグル、アマゾン・ドット・コム、フェイスブック、アップル）の活動を規制する動きが世界で広がっているためです。

スクールのGDPR対策は？

EU域内に支社や支店などがなかったとしても
日本にあるWebサイトでEUに在住する消費者に対して商品やサービスを販売する会社や事業者が対象となる可能性があります。

インバウンドで欧州の外国人観光客が、
日本国内のスクールや教室でレッスンを受ける際に予約を取るために、顧客情報を取得する場合も対象となる場合があります。

具体的な対策としては、
個人データを廃棄するか、「匿名化」によって個人データではなくしてしまう方法があります。
匿名化は、データの中から個人を特定できる情報を削除する方法で、
この場合は複数のデータから個人情報を推測できる可能性も排除する必要があります。

個人情報は、貴重な情報でもあり、リスクを持った情報であることを認識し、
閲覧アクセスを制限したり、削除ルールを徹底するなど、まずは、日本の個人情報保護法に基づいた運用を徹底しましょう。

GDPRに関して個人情報保護委員会がガイドライン策定の「方向性」を発表しました。https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf