EU一般データ保護規則(GDPR)について

5月25日よりEU一般データ保護規則(GDPR)が発効となります。ロータリー職員が処理する個人データには欧州の会員、ローターアクター、プログラム参加者などの情報が含まれるため、この新しいデータ保護法の順守がロータリー職員に義務づけられることとなります。

ご存知のように、ロータリーは皆様のプライバシーの尊重と個人情報の保護に努めております。このため、この機会に、個人情報をロータリーと共有している世界中の方々のために、以下の方法でデータ保護とセキュリティ対策を強化することとなりました。

「一般データ保護規則(GDPR)」とは何ですか?

GDPRは、欧州連合(EU)の居住者のために、データ保護の規則を強化する、EUによる新しい法律です。この法律は、EU圏内でデータを処理するすべての企業だけでなく、EU居住者に物やサービスを提供する海外の組織(国際ロータリーのような組織)にも適用されます。本法律は5月25日に施行され、1995年以降適用されてきた「EUデータ保護条例」に代わるものとなります。

国際ロータリーは個人データを保護するためにどのような対応をしていますか?

GDPRが施行される以前から、ロータリーでは個人情報を保護する方針を適用してきました。ロータリーウェブサイトの「プライバシーの方針」ページでは、ロータリーが収集する情報の種類、収集方法、使用方法が説明されています。また、どの個人情報をロータリーと共有するかについて各個人が決めることのできる方法を採用しているほか、いつでもその内容を確認できるようにしています。

個人データを保護する方策として、ファイアウォールを通した安全なサーバー上で、パスワードで保護されたデータベースを利用することや、職員に毎年、情報保護への認識向上を目的とした研修を義務付けていることなどが挙げられます。

国際ロータリーはGDPRの施行に対し、どのように準備をしてきましたか?

まず、ロータリーで現状評価とリスク分析を行いました。これにより、GDPRがロータリーでのプロセスにどう影響し、順守に向けて何を変更すべきかを明らかにしました。分析の結果、以下の分野に力を注ぐこととなりました。

  • データ処理の一覧表作成:GDPR第30条を順守するため、ロータリーの個人データ処理作業を一覧にまとめました。
  • 法的な基礎:あらゆるデータ処理方法を見直し、GDPRに則って全プロセスの法的な基礎または理由が文書化されていることを確認しました。
  • 方針と通知:GDPRを順守するためロータリーウェブサイトのプライバシーの方針を改定中です。また、個人データの使用方法について会員に詳しくお伝えするための通知を作成しています。
  • 記録の管理:必要な期間のみ記録を保管するため、個人データが含まれる記録の保管期間を変更しました。
  • データ漏洩が生じた際の手続き:GDPRに従い、情報漏洩が生じた際に、対象となった個人に情報を伝えるための対応ガイドラインを改定しました。

GDPRは日本のロータリアンにも影響を与えますか?

ロータリーは、上記のような新しい基準を、ヨーロッパのロータリアンだけでなく、全世界のロータリアンに適用していきます。お住まいの国・地域がどこであろうと、ロータリーが皆さまの個人データを処理する限り、皆さまには以下の権利が発生します。

  • 通知を受ける権利:ロータリーは定期的に、皆さまのどのような個人データを収集し、どのような目的に使用するかについてお知らせします。
  • 拒否する権利:ある特定の方法での個人データの処理(例:ダイレクトマーケティングなど)をこれ以上希望しない場合には、その旨をロータリーに通知することができます。
  • 訂正する権利:個人データに誤りがある場合には、data@rotary.orgまでお知らせください。

国際ロータリーによる私の個人データ使用について、承諾する必要がありますか?

基本的にはその必要はありません。GPDRの下では、承諾は個人データの処理が合法であることを決定づけるために利用される6つの法的な土台の一つです。ロータリーでは一般的に、個人データの処理については、「正当な利益」を合法な土台として見なしています。

ロータリーを効果的に管理・運営し、皆さまの法的権利を不正に侵害することのないようにするには、このような方法をとることが必要であるためです。 ロータリーが皆さまに承諾をお願いするのは、それが適切であると判断された場合です。例えば、個人の健康上の情報といった特別な分野における情報を処理する場合などがこれに当てはまると考えられます。

私のクラブ(地区)はEU圏内にありますが、何か行動を起こす必要がありますか?

はい。皆さまのクラブまたは地区がEU圏内に所在し、会員やプログラム参加者の個人データを処理している場合は、GDPRの要件に従う義務があります。行っていただく必要がある事柄は以下の通りです。

  • クラブ内または地区内の会員に個人データの使用方法について通知する。
  • 保管している個人データの量を最小限にし、安全な場所で保管する。
  • 必要に応じて承諾を得る(例:16歳未満の青少年の個人データなど)。

詳しい情報は、EUGDPR.orgのウェブサイトまたは、各EU加盟国のデータ保護機関のウェブサイトをご覧ください。また、GDPRにおける皆さまの責務をより良く理解していただくため、地元のプライバシー保護の専門家に相談することも一案です。

私はEU圏内に住んでいません。何かする必要がありますか?

その可能性があります。皆さまのクラブや地区がEU圏内に所在していない場合でも、EU居住者の個人データを処理する限り、GDPRの方針に従うことが義務付けられます。また、EU居住者が皆さまの地域で行われるイベントに参加する場合、EU居住者を交換学生として受け入れる場合、奉仕プロジェクトでEU居住者の会員と協力する場合などは、GDPRを順守する必要があります。

GDPRの順守にあたり、ロータリーはクラブや地区にどのような支援を提供していますか?

本法律が施行される前に、GDPRの規則に沿ったかたちで、ウェブサイトのプライバシーの方針を更新します。また、トロント国際大会では、本件に関する分科会も開催されます(英語のみ)。分科会(Data Privacy and Data Protection: Rotary’s Compliance with GDPR)は、6月27日午後1時~2時に行われます。ご質問は、privacy@rotary.orgまでお送りください。

2-May-2018
RSS