- 作成日 : 2023年11月2日
GDPR(一般データ保護規則)とは?事業者に求められる対応まで解説
GDPRとは「EU一般データ保護規則」のことで、欧州連合(EU)が2018年に、個人データの保護を目的に制定した法令です。企業が膨大な個人データを取得できるようになったことを受け、個人の権利侵害を防ぐ目的で制定されました。
本記事ではGDPRの概要や個人情報保護法との違い、日本で対象となる事業者などを簡単に解説します。
目次
GDPR(一般データ保護規則)とは
企業のグローバル化が進む現代、EUで施行されたGDPR(一般データ保護規則)は日本にも影響を与えています。
個人データの保護を目的に制定されたGDPRについて、概要や個人情報保護法との違いをみていきましょう。
GDPRの概要
GDPRとは「General Data Protection Regulation」の略で、2018年に施行された「EU一般データ保護規則」のことです。個人情報とプライバシー保護を目的に、欧州経済領域(EEA)における個人情報の取り扱いについて定めた法令を指します。EEAは、EU加盟国にアイルランド・リヒテンシュタイン・ノルウェーを加えた地域のことです。
GDPRは1995年に採択されたEUデータ保護指令からさらに厳格化され、個人データの保護が強化されています。
GDPRと個人情報保護法の違い
GDPRで規定する個人情報は、日本の個人情報保護法とは範囲が異なります。個人情報保護法は、個人情報の有用性に配慮しながら個人の権利・利益を守ることを目的とした法律です。
個人情報保護法では、氏名・生年月日・住所・顔写真など、個人を直接特定できる情報が保護の対象となります。
これに対し、GDPRはこれらの個人情報に加え、IPアドレスやWebサイトを閲覧した際の情報が記録された「Cookie」などのデータを含む場合もあります。これらは、照合しないと個人とは結び付かないものの、技術的には個人の特定につながる可能性があるため、GDPRの保護の対象になるものです。
個人情報については、以下の記事が参考になります。
GDPRの対象となる事業者は?
GDPRはEU域内にある組織だけでなく、EUと取引のあるすべての組織が対象です。日本の事業者であっても、以下に該当する場合は対象となります。
- EUに子会社や支店、営業所を持つ
- 日本からEUに商品・サービスを提供している
- EUから個人データの処理について委託を受けている
EUに子会社や支店、営業所がある企業は、現地の従業員や顧客の個人データについて、GDPRの決まりに沿って適切に扱う必要があります
EUで収集した個人データは、GDPRに基づいて処理しなければなりません。
EUに個人データを扱うデータベースやサーバーがある場合も適用対象となり、ECサイトなどでEUに商品・サービスを販売している場合も、GDPRの適用を受けます。商品・サービスの提供」にはネット通販やオンラインサービスも含み、EU域内の個人情報を取得する場合は店舗やサーバーが日本にあっても対象となります。
GDPRで定められている事項
GDPRで具体的に定められているのは、次の3つです。
- 個人データの処理
- 個人データ移転の禁止
- 基本的人権
それぞれの内容を詳しくみていきましょう。
個人データの処理
個人データの処理とは、データの取得や記録、利用などの業務のことです。一例として、クレジットカード情報の保存やメールアドレスの収集、住所を含む顧客リストの作成・変更などがあげられます。
これら個人データの処理に対して、主に次のような規制が設けられています。
- 個人データの処理に関して、個人の明確な同意を得ること
- 適法で透明性が保たれるよう、個人データを処理すること
- 個人データの処理目的のために必要な期間が過ぎた場合は、データを破棄すること
- 個人データの侵害が発生した場合、企業は72時間以内にその旨を監督機関に通知すること
個人データ移転の原則禁止
個人データの移転とは、EEAで取得した個人データを、EEA圏外に移転することです。ただし、移転先の国でもEUと同じような個人データ保護が行われているか、もしくは個別に保護措置が取られていると認定された場合には、移転が可能です。
日本ではこの認定があるため、2019年に個人データの移転が認められました。
基本的人権の保護
GDPRは、規定の中で個人のデータ保護は基本的人権であることを明確にしています。個人の権利保護に関連して、次のようなルールが設けられています。
- データの主体である個人は、同意をいつでも撤回する権利を持つ
- 16歳未満の子どもは、保護者の同意が必要である
- 個人データをその主体から直接取得していない場合、企業は情報の入手先を本人に通知しなければならない
事業者はどうGDPRに対応すべき?
企業の海外進出が進む中で、GDPRの対象となる日本の事業者は少なくありません。
日本企業に必要な対応は、個人の権利保護の強化や、GDPRで定める個人情報の種類に沿ったプライバシーポリシーの見直しです。
また、データ保護責任者を設置するなど、GDPRの内容に沿った安全管理体制の整備も必要になるでしょう。その基盤として、情報セキュリティの強化も求められます。
まずはGDPRについて理解を進め、自社が対象の範囲にある場合は、早急に対策を行わなければなりません。
プライバシーポリシーについては、以下の記事が参考になります。
2021年のGDPR改正
2021年にGDPRにおける標準契約条項(SCC:Standard Contractual Clause)が改正され、企業には新SCCへの切り替えが要請されました。SCCとは、欧州委員会が決定したデータ移転契約のひな型であり、EU域外への個人データの移転を適法化するための保護措置のことです。
EUでは、GDPRに基づきEU域外への個人データの移転を原則禁止しており、例外的に域外へ個人データを移転するには、SCCの使用など適切な保護措置が求められます。
前述のとおり、日本はデータ移転の認定を受けているため、日本企業は個人データの移転時にSCCを利用する必要はありません。ただし、認定されていない域外国への個人データの移転を行う企業は、新たなSCCに基づいて対応しなければなりません。
GDPRの対策はお早めに
GDPRはEUの個人データ保護を規定した法令であり、日本の事業者も対象になる可能性があります。EUに事業拠点がなくても、EUに商品・サービスを提供している場合はGDPRの適用対象です。
GDPRに違反した場合、企業に対して制裁金を科された事例もあります。罰則の対象にならないよう、GDPRの理解を深め、早めの対策が求められるでしょう。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
法定代理人とは?権限から任意代理人との違いまで解説
法定代理人とは、本人の意思によらずに法律に規定された法定代理権に基づき本人を代理する者です。これは、契約を締結する際に関わってくる大事な制度の一つです。今回は、法定代理人の権限や任意代理との違いについてわかりやすくご説明します。 法定代理人…
詳しくみる派遣先均等・均衡方式とは?労使協定方式との違いも解説
派遣先の正社員と派遣労働者との間の不合理な待遇格差の解消を目的とし、2020年4月に改正労働者派遣法が施行されています。 この法律では、派遣社員の賃金の決定方法について派遣会社は、派遣先均等・均衡方式と労使協定方式のいずれかを選択して、派遣…
詳しくみるビジネス関連発明とは?ビジネスモデルに特許が認められる要件を解説
ビジネスモデル特許とは、ビジネスモデル全体を保護する特許のことです。ビジネスモデル自体は特許の対象ではありませんが、コンピュータやインターネットなどICTを活用した場合、ビジネス関連発明として特許取得が可能となります。 本記事ではビジネス関…
詳しくみる特許出願の分割とは?分割出願のタイミングやメリットを解説
特許出願の分割とは、2つ以上の発明をまとめて出願する際、発明の一部を新たな出願として分割できることです。分割により審査をスムーズに進められたり、特許として認められる可能性が高まったりします。 今回は、出願を分割するメリットやタイミング、分割…
詳しくみるシルバー人材センターはフリーランス新法の対象?適切な契約方法や注意点
2024年11月に施行されるフリーランス新法は、シルバー人材センターの契約方式にも影響を与えます。請負・委任の仕事をするセンターの会員はフリーランスに該当するためです。 本記事では、フリーランス新法の施行により見直しが行われる契約方式の変更…
詳しくみる民法555条とは?売買契約の成立要件や効果についてわかりやすく解説
民法555条とは、売買契約が成立する要件を定める条文です。売主がある商品やサービスの所有権を買主に移転することを約束し、買主が売主に代金を支払うことを約束すると売買契約が成立します。民法555条の成立要件や得られる効果、書面作成の必要性につ…
詳しくみる