一般データ保護規則（GDPR）の施行日が迫るなか、様々な情報が飛び交っています。GDPRとはどのようなもので、私たちにどのような影響をもたらすのか？代表的ないくつかの疑問に対する答えを見ていきたいと思います。

GDPRとは？

一般データ保護規則（General Data Protection Regulation: GDPR）は、欧州連合（EU）域内でデータのプライバシー、処理、監視のルールを定めるために作られた規則です。分かりやすく言えば、EU内外の企業が収集、保管、移転できるEU域内の居住者に関するデータ、およびその使用方法を規制するものです。GDPRは2016年5月に採択され、2018年5月25日に施行される予定です。

GDPRの役割は？

GDPRはEUに居住する人の個人情報の保護が目的です。EUを拠点とする組織だけでなく、EU域内に居住する個人に商品やサービスを提供したり、その行動をモニタリングするEU域外の組織にも適用されます。詳しくは、eugdpr.org をご覧ください。

個人データとは？

個人データとは、人物を直接的に、または間接的に特定することができる、あらゆる情報のことです。たとえば、氏名、写真、メールアドレス、銀行の口座情報、ソーシャルメディアの投稿、医療情報、コンピュータのIPアドレスなどが該当します。機密性の高い個人データは、性別や人種などの個人データのサブセット（GDPRの定義による）にあたります。

EUに居住する消費者にとって、どんな意味？

この規則によって、EUの居住者は自分の個人データの用途を管理できる権利が与えられます。組織は、データを収集・処理する前に、通知を行い、同意を得なければなりません。また、個人データの利用目的を開示し、データの保存、および削除の方針を明確しなければなりません。こうした組織は、個人データを保護するためのセキュリティ対策を取る一方で、データ処理やアクセス記録の保管、個人データの侵害が発生した場合は、監督機関に通知する義務を負います。

日本の居住者には、どんな影響？

GDPRはEUの居住者に適用されるため、日本の一般市民の方にとってそれほど大きな影響はありません。しかし、EU居住者に商品やサービスを提供したり、EUから商品やサービスにアクセスする個人の行動をモニタリングなどを行う日本企業は、GDPRを遵守しなければなりません。（これはEU域内での活動がオンライン・デジタルのみの日本企業にも適用されます。）

SAP Concurはこの変化にどのように対応？

SAP Concur はお客様の信頼をさらに高めるために、GDPRのみならず、あらゆる法令の遵守に取り組んでいます。SAP Concur は、通常の製品規格の一部として、データ保護への一貫した対応を取っています。この対応はGDPRの新たな要件も反映していきます。SAP Concur は十分なセキュリティー対応がされた製品とサービスを通じて、お客様がGDPRの要件に対応できるよう、支援していきます。

SAP Concur のGDPRに対する取り組みについては、こちら（日本語）をご覧ください。SAP でのGDPRに対する取り組みについては、こちら（英語）をご覧ください。