GDPRとは何か

欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation:GDPR)」は、日本でいうところの個人情報保護法に相当するような、EU レベルのデータ保護法です。

2016 年 5 月 4 日 付の EU 官報に掲載、2016 年 5 月 24 日に発効しましたが、行政罰を伴う適用開始は 2018 年 5 月 25 日と定められており、これが実質的な「施行日」となります。

どういう会社が対応が必要になるか

欧州経済地域( EUにアイスランド、リヒテンシュタイン、ノルウェーを加えた地域。EEAと言います) 住民の個人データを取得する組織は対応が必要で、EEA外に所在地のある組織も対象になります。

GDPRの観点で、Kiiを利用するメリットは何か。

「処理者」としてサーバ側を管理する責任をKiiが負います。

クラウドサービスを利用してEEA住民の個人データを収集する場合には、お客様は、GDPRの規則にしたがってデータ処理ができ、「処理者」として管理者-処理者間の契約締結ができる事業者を選ぶ必要がありますが、Kiiはそのような事業者にあたります。

「データ主体」「管理者」「処理者」とは

GDPRでは、「データ主体」「管理者」「処理者」が定められており、それぞれ下記のような存在です。

• データ主体
  個人データが関連する当該個人。
• 管理者 (controller)
  単独または共同で個人データの処理の目的と手段を決定し、個人データの処理の適法性とGDPR違反に対する責任を負う。
• 処理者 (processor)
  管理者を代理して、個人データの処理を行う。

KiiとKii Cloudの利用者の関係

例えば、Kii Cloudを利用して開発したアプリやIoT機器を通じて、EEA住民の個人データを収集し、その情報をKiiに保存する場合、個人データを収集するKii Cloudの利用者は上記の「管理者」、Kiiは「処理者」となります。

そのため、このような場合にはKii Cloudの利用者が「管理者」としての責任を負う事になります。

開発者ポータルに登録するKii Cloudの利用者自身がEEA住民に当たる場合、Kiiの開発者ポータルの利用に関しては利用者が「データ主体」、Kiiが「管理者」となります。

EEA住民の個人データを収集するKii Cloudの利用者は何をしなければならないか

GDPRにおける 「管理者」としての責務を果たす必要があります。（説明責任や、「データ主体」の各種権利保証等）

その一環として、「処理者」に適切なデータ処理をさせる必要があり、そのため、Kiiとの間でも「管理者」と「処理者」の間で必要な契約を締結する必要があります。

個人データの域外移転について

ご利用方法によっては、システム構成の関係上「個人データのEEA域外移転」にあたる場合があり、そのような場合には「標準契約条項(SCC)」を含めた契約を締結する形になります。

対応しないとどうなるか

下記の罰金が課せられます。

• 1,000 万ユーロ以下 または、企業の場合には前会計年度の全世界年間売上高の 2%以下 のいずれか高い方
• 2,000 万ユーロ以下 または、企業の場合には前会計年度の全世界年間売上高の 4%以下 のいずれか高い方

Kiiとの間で「管理者」「処理者」間のご契約を締結される場合の連絡先

下記の問い合わせ窓口にご連絡ください。
info@kii.com