契約書管理・電子契約サービス
資料請求
  1. 「マネーフォワード クラウド契約」
  2. 契約の基礎知識
  3. GDPR(一般データ保護規則)とは?事業者に求められる対応まで解説
  • 作成日 : 2023年11月2日

GDPR(一般データ保護規則)とは?事業者に求められる対応まで解説

GDPRとは「EU一般データ保護規則」のことで、欧州連合(EU)が2018年に、個人データの保護を目的に制定した法令です。企業が膨大な個人データを取得できるようになったことを受け、個人の権利侵害を防ぐ目的で制定されました。

本記事ではGDPRの概要や個人情報保護法との違い、日本で対象となる事業者などを簡単に解説します。

GDPR(一般データ保護規則)とは

企業のグローバル化が進む現代、EUで施行されたGDPR(一般データ保護規則)は日本にも影響を与えています。

個人データの保護を目的に制定されたGDPRについて、概要や個人情報保護法との違いをみていきましょう。

GDPRの概要

GDPRとは「General Data Protection Regulation」の略で、2018年に施行された「EU一般データ保護規則」のことです。個人情報とプライバシー保護を目的に、欧州経済領域(EEA)における個人情報の取り扱いについて定めた法令を指します。EEAは、EU加盟国にアイルランド・リヒテンシュタイン・ノルウェーを加えた地域のことです。

GDPRは1995年に採択されたEUデータ保護指令からさらに厳格化され、個人データの保護が強化されています。

GDPRと個人情報保護法の違い

GDPRで規定する個人情報は、日本の個人情報保護法とは範囲が異なります。個人情報保護法は、個人情報の有用性に配慮しながら個人の権利・利益を守ることを目的とした法律です。

個人情報保護法では、氏名・生年月日・住所・顔写真など、個人を直接特定できる情報が保護の対象となります。

これに対し、GDPRはこれらの個人情報に加え、IPアドレスやWebサイトを閲覧した際の情報が記録された「Cookie」などのデータを含む場合もあります。これらは、照合しないと個人とは結び付かないものの、技術的には個人の特定につながる可能性があるため、GDPRの保護の対象になるものです。

個人情報については、以下の記事が参考になります。

契約の基礎知識
個人情報とは何か?法律上の定義や取扱事業者の義務を解説
個人情報保護は企業の重大な責務の一つです。そもそも個人情報とは何なのでしょうか。今回は個人情報の法律上の定義や取扱事業者の義務についてわかりやすくご説明します。あらためて個人情報保護の重要性について考えてみましょう。個人情報とは何?では個人情報とはどのような情報を指すのか、その定義について見ていきましょう。これを知ることで、どのような情報を守らなければならないかということも理解できるようになります。個人情報の法律上の定義個人情報は「個人情報の保護に関する法律(個人情報保護法)」という法律によ...
広告

この記事をお読みの方におすすめのガイド5選

最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。

※記事の内容は、この後のセクションでも続きますのでぜひ併せてご覧ください。

電子契約にも使える!契約書ひな形まとめ30選

電子契約にも使える!契約書ひな形まとめ30選

業務委託契約書など各種契約書や、誓約書、念書・覚書、承諾書・通知書…など使用頻度の高い30個のテンプレートをまとめた、無料で使えるひな形パックです。

無料ダウンロードはこちら

導入で失敗したくない人必見!電子契約はじめ方ガイド

電子契約はじめ方ガイド

電子契約のキホンからサービス導入の流れまで、図解やシミュレーションを使いながらわかりやすく解説しています。

社内向けに導入効果を説明する方法や、取引先向けの案内文など、実務で参考になる情報もギュッと詰まった1冊です。

無料ダウンロードはこちら

紙も!電子も!契約書の一元管理マニュアル

紙も!電子も!契約書の一元管理マニュアル

本ガイドでは、契約書を一元管理する方法を、①紙の契約書のみ、②電子契約のみ、③紙・電子の両方の3つのパターンに分けて解説しています。

これから契約書管理の体制を構築する方だけでなく、既存の管理体制の整備を考えている方にもおすすめの資料です。

無料ダウンロードはこちら

自社の利益を守るための16項目!契約書レビューのチェックポイント

契約書レビューのチェックポイント

法務担当者や経営者が契約書レビューでチェックするべきポイントをまとめた資料を無料で提供しています。

弁護士監修で安心してご利用いただけます。

無料ダウンロードはこちら

法務担当者向け!Chat GPTの活用アイデア・プロンプトまとめ

法務担当者向け!Chat GPTの活用アイデア・プロンプトまとめ

法務担当者がchat GPTで使えるプロンプトのアイデアをまとめた資料を無料で提供しています。

chat GPT以外の生成AIでも活用できるので、普段利用する生成AIに入力してご活用ください。

無料ダウンロードはこちら

GDPRの対象となる事業者は?

GDPRはEU域内にある組織だけでなく、EUと取引のあるすべての組織が対象です。日本の事業者であっても、以下に該当する場合は対象となります。

  • EUに子会社や支店、営業所を持つ
  • 日本からEUに商品・サービスを提供している
  • EUから個人データの処理について委託を受けている

EUに子会社や支店、営業所がある企業は、現地の従業員や顧客の個人データについて、GDPRの決まりに沿って適切に扱う必要があります

EUで収集した個人データは、GDPRに基づいて処理しなければなりません。

EUに個人データを扱うデータベースやサーバーがある場合も適用対象となり、ECサイトなどでEUに商品・サービスを販売している場合も、GDPRの適用を受けます。商品・サービスの提供」にはネット通販やオンラインサービスも含み、EU域内の個人情報を取得する場合は店舗やサーバーが日本にあっても対象となります。

GDPRで定められている事項

GDPRで具体的に定められているのは、次の3つです。

  • 個人データの処理
  • 個人データ移転の禁止
  • 基本的人権

それぞれの内容を詳しくみていきましょう。

個人データの処理

個人データの処理とは、データの取得や記録、利用などの業務のことです。一例として、クレジットカード情報の保存やメールアドレスの収集、住所を含む顧客リストの作成・変更などがあげられます。

これら個人データの処理に対して、主に次のような規制が設けられています。

  • 個人データの処理に関して、個人の明確な同意を得ること
  • 適法で透明性が保たれるよう、個人データを処理すること
  • 個人データの処理目的のために必要な期間が過ぎた場合は、データを破棄すること
  • 個人データの侵害が発生した場合、企業は72時間以内にその旨を監督機関に通知すること

個人データ移転の原則禁止

個人データの移転とは、EEAで取得した個人データを、EEA圏外に移転することです。ただし、移転先の国でもEUと同じような個人データ保護が行われているか、もしくは個別に保護措置が取られていると認定された場合には、移転が可能です。

日本ではこの認定があるため、2019年に個人データの移転が認められました。

基本的人権の保護

GDPRは、規定の中で個人のデータ保護は基本的人権であることを明確にしています。個人の権利保護に関連して、次のようなルールが設けられています。

  • データの主体である個人は、同意をいつでも撤回する権利を持つ
  • 16歳未満の子どもは、保護者の同意が必要である
  • 個人データをその主体から直接取得していない場合、企業は情報の入手先を本人に通知しなければならない

事業者はどうGDPRに対応すべき?

企業の海外進出が進む中で、GDPRの対象となる日本の事業者は少なくありません。

日本企業に必要な対応は、個人の権利保護の強化や、GDPRで定める個人情報の種類に沿ったプライバシーポリシーの見直しです。

また、データ保護責任者を設置するなど、GDPRの内容に沿った安全管理体制の整備も必要になるでしょう。その基盤として、情報セキュリティの強化も求められます。

まずはGDPRについて理解を進め、自社が対象の範囲にある場合は、早急に対策を行わなければなりません。

プライバシーポリシーについては、以下の記事が参考になります。

契約の基礎知識
プライバシーポリシーとは何か?必要性、記載事項をわかりやすく解説
Webサイトに設けられている「個人情報保護方針・プライバシーポリシー」とは何かご存じでしょうか。これは、個人情報保護法上企業に課せられている義務を果たすために重要なものであり、利用規約とは異なります。当記事では具体的な記載事項などに触れつつ、プライバシーポリシーについて詳しく解説します。プライバシーポリシー(個人情報保護方針)とはプライバシーポリシーとは個人情報保護のための方針のことで、特にWeb業界で多く用いられます。プライバシーポリシーは個人情報保護法に基づいて作成されますが、「プライバシーポ...

2021年のGDPR改正

2021年にGDPRにおける標準契約条項(SCC:Standard Contractual Clause)が改正され、企業には新SCCへの切り替えが要請されました。SCCとは、欧州委員会が決定したデータ移転契約のひな型であり、EU域外への個人データの移転を適法化するための保護措置のことです。

EUでは、GDPRに基づきEU域外への個人データの移転を原則禁止しており、例外的に域外へ個人データを移転するには、SCCの使用など適切な保護措置が求められます。

前述のとおり、日本はデータ移転の認定を受けているため、日本企業は個人データの移転時にSCCを利用する必要はありません。ただし、認定されていない域外国への個人データの移転を行う企業は、新たなSCCに基づいて対応しなければなりません。

GDPRの対策はお早めに

GDPRはEUの個人データ保護を規定した法令であり、日本の事業者も対象になる可能性があります。EUに事業拠点がなくても、EUに商品・サービスを提供している場合はGDPRの適用対象です。

GDPRに違反した場合、企業に対して制裁金を科された事例もあります。罰則の対象にならないよう、GDPRの理解を深め、早めの対策が求められるでしょう。


※ 掲載している情報は記事更新時点のものです。

  • 監修:幸谷泰造(弁護士・弁理士)

    市ヶ谷東法律事務所代表。ソフトウェア・インターネット・知的財産に関する法分野を専門とするソフトウェアエンジニア出身の理系弁護士・弁理士。
    ソニー株式会社で知的財産業務を約6年経験し、弁護士となった後は大手法律事務所等で企業法務に従事。
    エンジニア出身のバックグラウンドを活かし、IT系企業の契約書の作成やチェックを数多く経験。
    慶応義塾大学大学院理工学研究科非常勤講師として「実践知財管理」を担当。2022年度 特許庁I-OPENプロジェクト専門家サポーター。

    弁護士紹介|市ヶ谷東法律事務所ホームページ

契約の知識をさらに深めるなら

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事

  1. 「マネーフォワード クラウド契約」
  2. 契約の基礎知識
  3. GDPR(一般データ保護規則)とは?事業者に求められる対応まで解説