GDPRとは

この記事は約 2 分で読めます

GDPR (General Data Protection Regulation、一般データ保護規則) とは、 2018 年 5 月に施行された EU の個人データ保護に関する包括的な規則です。 EU 域内の個人データを取り扱うすべての組織 (EU 域外の企業を含む) が 対象となり、違反時には最大で全世界年間売上高の 4% または 2,000 万ユーロの制裁金が科されます。2025 年現在、 GDPR の施行以降、累計で 50 億ユーロ以上の制裁金が科されており、 Meta や Amazon への大型制裁が注目を集めています。

現場での使用例

「EU 向け EC サイトのリニューアルで、Cookie 同意バナーの実装、 プライバシーポリシーの GDPR 対応、データ主体のアクセス権・削除権への 対応機能を開発しました。ユーザーが自分のデータをダウンロード・削除できる セルフサービスポータルを構築し、DSAR (データ主体アクセス要求) への 対応工数を 90% 削減しています。」

GDPR の主要原則

GDPR は 7 つの原則を定めています。適法性・公正性・透明性 (データ処理の 法的根拠と目的の明示)、目的の限定 (収集目的以外での利用禁止)、 データの最小化 (必要最小限のデータのみ収集)、正確性 (データの正確性維持)、 保存期間の制限 (不要になったデータの削除)、完全性と機密性 (暗号化などによる適切な保護)、 アカウンタビリティ (遵守の証明責任) です。GDPR の入門書 (Amazon)で体系的に学べます。

日本企業への影響

EU 在住者向けにサービスを提供する日本企業、EU に拠点を持つ企業、 EU 企業から個人データの処理を委託される企業は GDPR の適用対象です。 EC サイトで EU からの注文を受け付ける場合、Cookie 同意バナーの実装、 プライバシーポリシーの GDPR 対応、データ主体の権利 (アクセス権、削除権、データポータビリティ権) への対応が必要です。 日本は EU から「十分性認定」を受けているため、 日本への個人データ移転は原則として追加の保護措置なしで可能です。プライバシー設定の 最適化は、GDPR 対応の第一歩です。

実務での対応ポイント

データ処理活動の記録 (ROPA) の作成、データ保護影響評価 (DPIA) の実施、 データ保護責任者 (DPO) の任命が主要な対応事項です。 データ漏洩が発生した場合、72 時間以内に監督当局へ通知する義務があり、データ漏洩対応の 手順を事前に整備しておく必要があります。 パスつく.com で生成した強力なパスワードで個人データを扱うシステムを保護し、保存時暗号化と通信時暗号化を 適用することは、GDPR の「適切な技術的措置」に該当します。データ保護法務の書籍 (Amazon)も参考になります。