• 作成日 : 2023年11月2日

GDPR(一般データ保護規則)とは?事業者に求められる対応まで解説

GDPR(一般データ保護規則)とは?事業者に求められる対応まで解説

GDPRとは「EU一般データ保護規則」のことで、欧州連合(EU)が2018年に、個人データの保護を目的に制定した法令です。企業が膨大な個人データを取得できるようになったことを受け、個人の権利侵害を防ぐ目的で制定されました。

本記事ではGDPRの概要や個人情報保護法との違い、日本で対象となる事業者などを簡単に解説します。

GDPR(一般データ保護規則)とは

企業のグローバル化が進む現代、EUで施行されたGDPR(一般データ保護規則)は日本にも影響を与えています。

個人データの保護を目的に制定されたGDPRについて、概要や個人情報保護法との違いをみていきましょう。

GDPRの概要

GDPRとは「General Data Protection Regulation」の略で、2018年に施行された「EU一般データ保護規則」のことです。個人情報とプライバシー保護を目的に、欧州経済領域(EEA)における個人情報の取り扱いについて定めた法令を指します。EEAは、EU加盟国にアイルランド・リヒテンシュタイン・ノルウェーを加えた地域のことです。

GDPRは1995年に採択されたEUデータ保護指令からさらに厳格化され、個人データの保護が強化されています。

GDPRと個人情報保護法の違い

GDPRで規定する個人情報は、日本の個人情報保護法とは範囲が異なります。個人情報保護法は、個人情報の有用性に配慮しながら個人の権利・利益を守ることを目的とした法律です。

個人情報保護法では、氏名・生年月日・住所・顔写真など、個人を直接特定できる情報が保護の対象となります。

これに対し、GDPRはこれらの個人情報に加え、IPアドレスやWebサイトを閲覧した際の情報が記録された「Cookie」などのデータを含む場合もあります。これらは、照合しないと個人とは結び付かないものの、技術的には個人の特定につながる可能性があるため、GDPRの保護の対象になるものです。

個人情報については、以下の記事が参考になります。

GDPRの対象となる事業者は?

GDPRはEU域内にある組織だけでなく、EUと取引のあるすべての組織が対象です。日本の事業者であっても、以下に該当する場合は対象となります。

  • EUに子会社や支店、営業所を持つ
  • 日本からEUに商品・サービスを提供している
  • EUから個人データの処理について委託を受けている

EUに子会社や支店、営業所がある企業は、現地の従業員や顧客の個人データについて、GDPRの決まりに沿って適切に扱う必要があります

EUで収集した個人データは、GDPRに基づいて処理しなければなりません。

EUに個人データを扱うデータベースやサーバーがある場合も適用対象となり、ECサイトなどでEUに商品・サービスを販売している場合も、GDPRの適用を受けます。商品・サービスの提供」にはネット通販やオンラインサービスも含み、EU域内の個人情報を取得する場合は店舗やサーバーが日本にあっても対象となります。

GDPRで定められている事項

GDPRで具体的に定められているのは、次の3つです。

  • 個人データの処理
  • 個人データ移転の禁止
  • 基本的人権

それぞれの内容を詳しくみていきましょう。

個人データの処理

個人データの処理とは、データの取得や記録、利用などの業務のことです。一例として、クレジットカード情報の保存やメールアドレスの収集、住所を含む顧客リストの作成・変更などがあげられます。

これら個人データの処理に対して、主に次のような規制が設けられています。

  • 個人データの処理に関して、個人の明確な同意を得ること
  • 適法で透明性が保たれるよう、個人データを処理すること
  • 個人データの処理目的のために必要な期間が過ぎた場合は、データを破棄すること
  • 個人データの侵害が発生した場合、企業は72時間以内にその旨を監督機関に通知すること

個人データ移転の原則禁止

個人データの移転とは、EEAで取得した個人データを、EEA圏外に移転することです。ただし、移転先の国でもEUと同じような個人データ保護が行われているか、もしくは個別に保護措置が取られていると認定された場合には、移転が可能です。

日本ではこの認定があるため、2019年に個人データの移転が認められました。

基本的人権の保護

GDPRは、規定の中で個人のデータ保護は基本的人権であることを明確にしています。個人の権利保護に関連して、次のようなルールが設けられています。

  • データの主体である個人は、同意をいつでも撤回する権利を持つ
  • 16歳未満の子どもは、保護者の同意が必要である
  • 個人データをその主体から直接取得していない場合、企業は情報の入手先を本人に通知しなければならない

事業者はどうGDPRに対応すべき?

企業の海外進出が進む中で、GDPRの対象となる日本の事業者は少なくありません。

日本企業に必要な対応は、個人の権利保護の強化や、GDPRで定める個人情報の種類に沿ったプライバシーポリシーの見直しです。

また、データ保護責任者を設置するなど、GDPRの内容に沿った安全管理体制の整備も必要になるでしょう。その基盤として、情報セキュリティの強化も求められます。

まずはGDPRについて理解を進め、自社が対象の範囲にある場合は、早急に対策を行わなければなりません。

プライバシーポリシーについては、以下の記事が参考になります。

2021年のGDPR改正

2021年にGDPRにおける標準契約条項(SCC:Standard Contractual Clause)が改正され、企業には新SCCへの切り替えが要請されました。SCCとは、欧州委員会が決定したデータ移転契約のひな型であり、EU域外への個人データの移転を適法化するための保護措置のことです。

EUでは、GDPRに基づきEU域外への個人データの移転を原則禁止しており、例外的に域外へ個人データを移転するには、SCCの使用など適切な保護措置が求められます。

前述のとおり、日本はデータ移転の認定を受けているため、日本企業は個人データの移転時にSCCを利用する必要はありません。ただし、認定されていない域外国への個人データの移転を行う企業は、新たなSCCに基づいて対応しなければなりません。

GDPRの対策はお早めに

GDPRはEUの個人データ保護を規定した法令であり、日本の事業者も対象になる可能性があります。EUに事業拠点がなくても、EUに商品・サービスを提供している場合はGDPRの適用対象です。

GDPRに違反した場合、企業に対して制裁金を科された事例もあります。罰則の対象にならないよう、GDPRの理解を深め、早めの対策が求められるでしょう。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事