【一問一答】「データ管理者」と「データ処理者」の違いは? : GDPR のグレーゾーン

DIGIDAY+ 限定記事 ]「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)が2018年5月に施行されて以来、企業間でデータを共有することは法的に難しくなりました。

しかし、英国の個人情報保護監督機関、情報コミッショナーオフィス(Information Commissioner's Office:以下、ICO)は、まだ残っているグレーゾーンをなくそうとしています。そのグレーゾーンとは、データ管理者がほかの独立したデータ管理者と顧客データを共有する際の契約上の合意です。ICOは7月第3週、GDPRとの整合性を図るために、データの共有方法に関する規則を更新しました

これまで、契約上の合意については、データ処理者とデータ管理者間の合意の方がはるかに大きな注目を集めていました。しかしICOは、GDPRの下でデータ管理者と分類される企業に対し、ほかのデータ管理者との合意にもっと注意を払うよう促しています。とはいえ、多くの企業はいまも、自社がデータ管理者と処理者のどちらに分類されるのか、あるいは両方に当てはまるのかよくわかっていません。今回の「一問一答」シリーズは、この問題について知るための入門編です。

――データ管理者とは何か、もう一度教えてください。