• 作成日 : 2023年11月2日

GDPR（一般データ保護規則）とは？事業者に求められる対応まで解説

GDPRとは「EU一般データ保護規則」のことで、欧州連合（EU）が2018年に、個人データの保護を目的に制定した法令です。企業が膨大な個人データを取得できるようになったことを受け、個人の権利侵害を防ぐ目的で制定されました。

本記事ではGDPRの概要や個人情報保護法との違い、日本で対象となる事業者などを簡単に解説します。

GDPR（一般データ保護規則）とは

企業のグローバル化が進む現代、EUで施行されたGDPR（一般データ保護規則）は日本にも影響を与えています。

個人データの保護を目的に制定されたGDPRについて、概要や個人情報保護法との違いをみていきましょう。

GDPRの概要

GDPRとは「General Data Protection Regulation」の略で、2018年に施行された「EU一般データ保護規則」のことです。個人情報とプライバシー保護を目的に、欧州経済領域（EEA）における個人情報の取り扱いについて定めた法令を指します。EEAは、EU加盟国にアイルランド・リヒテンシュタイン・ノルウェーを加えた地域のことです。

GDPRは1995年に採択されたEUデータ保護指令からさらに厳格化され、個人データの保護が強化されています。

GDPRと個人情報保護法の違い

GDPRで規定する個人情報は、日本の個人情報保護法とは範囲が異なります。個人情報保護法は、個人情報の有用性に配慮しながら個人の権利・利益を守ることを目的とした法律です。

個人情報保護法では、氏名・生年月日・住所・顔写真など、個人を直接特定できる情報が保護の対象となります。

これに対し、GDPRはこれらの個人情報に加え、IPアドレスやWebサイトを閲覧した際の情報が記録された「Cookie」などのデータを含む場合もあります。これらは、照合しないと個人とは結び付かないものの、技術的には個人の特定につながる可能性があるため、GDPRの保護の対象になるものです。

個人情報については、以下の記事が参考になります。

契約の基礎知識

個人情報とは何か？法律上の定義や取扱事業者の義務を解説

個人情報保護は企業の重大な責務の一つです。そもそも個人情報とは何なのでしょうか。今回は個人情報の法律上の定義や取扱事業者の義務についてわかりやすくご説明します。あらためて個人情報保護の重要性について考えてみましょう。個人情報とは何？では個人情報とはどのような情報を指すのか、その定義について見ていきましょう。これを知ることで、どのような情報を守らなければならないかということも理解できるようになります。個人情報の法律上の定義個人情報は「個人情報の保護に関する法律（個人情報保護法）」という法律によ...

GDPRの対象となる事業者は？

GDPRはEU域内にある組織だけでなく、EUと取引のあるすべての組織が対象です。日本の事業者であっても、以下に該当する場合は対象となります。

EUに子会社や支店、営業所がある企業は、現地の従業員や顧客の個人データについて、GDPRの決まりに沿って適切に扱う必要があります

EUで収集した個人データは、GDPRに基づいて処理しなければなりません。

EUに個人データを扱うデータベースやサーバーがある場合も適用対象となり、ECサイトなどでEUに商品・サービスを販売している場合も、GDPRの適用を受けます。商品・サービスの提供」にはネット通販やオンラインサービスも含み、EU域内の個人情報を取得する場合は店舗やサーバーが日本にあっても対象となります。

GDPRで定められている事項

GDPRで具体的に定められているのは、次の3つです。

それぞれの内容を詳しくみていきましょう。

個人データの処理

個人データの処理とは、データの取得や記録、利用などの業務のことです。一例として、クレジットカード情報の保存やメールアドレスの収集、住所を含む顧客リストの作成・変更などがあげられます。

これら個人データの処理に対して、主に次のような規制が設けられています。

個人データ移転の原則禁止

個人データの移転とは、EEAで取得した個人データを、EEA圏外に移転することです。ただし、移転先の国でもEUと同じような個人データ保護が行われているか、もしくは個別に保護措置が取られていると認定された場合には、移転が可能です。

日本ではこの認定があるため、2019年に個人データの移転が認められました。

基本的人権の保護

GDPRは、規定の中で個人のデータ保護は基本的人権であることを明確にしています。個人の権利保護に関連して、次のようなルールが設けられています。

事業者はどうGDPRに対応すべき？

企業の海外進出が進む中で、GDPRの対象となる日本の事業者は少なくありません。

日本企業に必要な対応は、個人の権利保護の強化や、GDPRで定める個人情報の種類に沿ったプライバシーポリシーの見直しです。

また、データ保護責任者を設置するなど、GDPRの内容に沿った安全管理体制の整備も必要になるでしょう。その基盤として、情報セキュリティの強化も求められます。

まずはGDPRについて理解を進め、自社が対象の範囲にある場合は、早急に対策を行わなければなりません。

プライバシーポリシーについては、以下の記事が参考になります。

契約の基礎知識

プライバシーポリシーとは何か？必要性、記載事項をわかりやすく解説

Webサイトに設けられている「個人情報保護方針・プライバシーポリシー」とは何かご存じでしょうか。これは、個人情報保護法上企業に課せられている義務を果たすために重要なものであり、利用規約とは異なります。当記事では具体的な記載事項などに触れつつ、プライバシーポリシーについて詳しく解説します。プライバシーポリシー（個人情報保護方針）とはプライバシーポリシーとは個人情報保護のための方針のことで、特にWeb業界で多く用いられます。プライバシーポリシーは個人情報保護法に基づいて作成されますが、「プライバシーポ...

2021年のGDPR改正

2021年にGDPRにおける標準契約条項（SCC：Standard Contractual Clause）が改正され、企業には新SCCへの切り替えが要請されました。SCCとは、欧州委員会が決定したデータ移転契約のひな型であり、EU域外への個人データの移転を適法化するための保護措置のことです。

EUでは、GDPRに基づきEU域外への個人データの移転を原則禁止しており、例外的に域外へ個人データを移転するには、SCCの使用など適切な保護措置が求められます。

前述のとおり、日本はデータ移転の認定を受けているため、日本企業は個人データの移転時にSCCを利用する必要はありません。ただし、認定されていない域外国への個人データの移転を行う企業は、新たなSCCに基づいて対応しなければなりません。

GDPRの対策はお早めに

GDPRはEUの個人データ保護を規定した法令であり、日本の事業者も対象になる可能性があります。EUに事業拠点がなくても、EUに商品・サービスを提供している場合はGDPRの適用対象です。

GDPRに違反した場合、企業に対して制裁金を科された事例もあります。罰則の対象にならないよう、GDPRの理解を深め、早めの対策が求められるでしょう。

• 監修：幸谷泰造（弁護士・弁理士）

  市ヶ谷東法律事務所代表。ソフトウェア・インターネット・知的財産に関する法分野を専門とするソフトウェアエンジニア出身の理系弁護士・弁理士。
  ソニー株式会社で知的財産業務を約6年経験し、弁護士となった後は大手法律事務所等で企業法務に従事。
  エンジニア出身のバックグラウンドを活かし、IT系企業の契約書の作成やチェックを数多く経験。
  慶応義塾大学大学院理工学研究科非常勤講師として「実践知財管理」を担当。2022年度 特許庁I-OPENプロジェクト専門家サポーター。
  
  弁護士紹介|市ヶ谷東法律事務所ホームページ