GDPR（EU一般データ保護規則）とは？目的や企業がすべき対策について解説

GDPR（EU一般データ保護規則）とは、欧州連合（EU）および欧州経済領域（EEA）において、「データ主体」と呼ばれる個人の個人データ保護とプライバシーに関する一連の規則です。データ保護指令はEUで採択されたものですが、EU加盟国に基づくデータを処理する場合は、世界中の企業や団体に適用されます。

2018年に導入されたGDPRは、1995年以降のデータ保護の枠組みであった以前のデータ保護指令（正式名称：Directive 95/46/EC）に代わるものです。GDPRは、EU全域のデータ保護法を調和させるために施行されました。個人データの収集、使用、共有の方法を管理するデータ主体の権利を強化したのです。また、個人データを処理する組織に対して新たな義務を課しました。

また、この規制は、企業が従うべき一連のルールを提供するものであり、企業がEUでビジネスを行うことをより容易にするはずです。EU居住者の個人情報を扱うすべての組織は、あらゆるデータ侵害を防ぎ、ユーザーデータを適切に管理するために、GDPRに準拠する必要があります。データプライバシー法の違反やコンプライアンス違反に対する罰金は、企業にとって非常に厳しく、数百万ユーロに達する可能性があります。

GDPRは、近年のデジタル環境の大きな変化に対応して採択されました。インターネットの発展とデジタル技術の利用の増加に伴い、組織が収集、使用、共有する個人データの量も相応に増加しています。

インターネットの発展により、データのプライバシー保護やデータ漏えいの可能性についての懸念が高まっています。GDPRは、個人データ処理に関する新たな規則を制定することで、こうした懸念に対処しました。この目的を実現するためには、各EU加盟国が遵守できるシンプルなルールの策定と調和、そして遵守しない場合の制裁の強化が必要となります。

GDPRは、EU居住者のデータを処理するあらゆる機関に適用されます。個人データには、以下のものが含まれます。

• 基本的な身元情報（氏名、住所、ID/パスポート番号）
• Webデータ（IPアドレス、位置情報、トラッキングクッキー）
• 健康、遺伝子、生体認証データ
• 人種または民族の起源
• 政治的意見または宗教的信条
• 性的指向
• その他、個人を特定できる情報

以前のデータ保護指令であるDirective 95/46/ECでは、個人データの具体的な規制をEU加盟国それぞれの法律に委ねていたため、国によって差が生じ、ビジネスに支障をきたすため、統一したルールが必要でした。この単一のルールにより、国際的な組織が機密データを処理し、欧州でビジネスを展開することが容易になりました。また、デジタル経済の発展に不可欠な、企業とデータ主体との信頼関係の構築も可能になりました。

GDPRは、個人データの取扱いに関する7つの主要な原則を定めています。これらの原則は、管理者が個人データをどのように収集、使用、保護すべきかを定義しています。

1. 適法性、公正性、透明性：組織は、データ処理が法律に違反せず、明確で偽装がなく、消費者のためになることを保証しなければなりません。
2. 目的の限定：個人情報を収集する組織は、データ収集の目的を特定し、その目的を達成するために必要な期間だけデータを保持しなければなりません。
3. データの最小化：企業は、意図された目的のために、適切かつ関連性のある消費者情報のみを収集することができます。
4. 正確性：収集した個人データの正確性は、データ保護法において欠かすことのできない要素です。無関係または不正確なユーザーデータは、すべて削除または修正されなければなりません。
5. 保存の制限：企業は、個人データを処理する目的を達成するために必要な期間だけ、個人データを保存することができます。
6. 完全性と機密性：データ管理者は、適切なデータ監視を確保するために個人情報を処理しなければならない。データ処理者は、個人情報を不正・違法な誤用や偶発的な破壊・紛失から保護するための合理的な措置を講じなければなりません。
7. 説明責任：データ処理者がGDPRの残りの原則を遵守していることを証明することを要求しています。データ管理者は、法律に従って個人データを処理することを保証し、証明できなければなりません。

すべてのデータは、GDPRに従い「適切な技術的および組織的対策」を用いて、公正、合法的、かつ透明性をもって処理されなければなりません。

GDPRは、EU加盟国で個人データを処理するあらゆる組織に適用されます。ここからは、より深掘りして見ていきましょう。

• EUに拠点を置く企業（管理者）の場合：GDPRは、EUに拠点を置く企業が個人データを取り扱う場合、常に「管理者」（個人データの取扱いの目的および方法を決定する人または法人や政府機関などの組織）として適用されます。個人データの処理自体がEU域外で行われる場合でも、EUの拠点の活動の中で個人データを扱う場合には、GDPRが適用されます。
• EU企業による個人データの処理を委託された企業（処理者）の場合：GDPRは、EUに拠点を置く企業やEU企業に代わって個人データを取り扱う「処理者」（管理者に代わって個人データを取り扱う人や組織）に適用されます。
• EU圏内の個人に対して商品・サービスを提供する会社の場合：GDPRは、EUに拠点を置いていない企業であっても、EU内の個人に商品やサービスを提供する企業であれば適用されます。
• EU圏内の個人を監視する企業の場合：「監視」の範囲は広く、ターゲティング広告やレコメンド広告も含まれます。自社のWebサイトにEU圏内からのアクセスが一定数以上ある場合は、GDPRが適用されます

GDPRにおける個人データ保護は、上記で説明した組織や企業にとって極めて重要で、個人データの収集、処理、保存、削除について厳しい基準が設けられています。

まず、GDPRで保護される個人データの範囲について見てみましょう。

• EEA内に所在する人（国籍や居住地などを問わない）の個人データ
• 日本からEEAに送られる個人データ
• EEAに所在する日本人が日本に転送する個人データ
• 日本からEEAに送られ、EEAで処理され、日本に送られる個人データ

GDPRで保護される個人データの事例も掘り下げてみましょう。

• GDPRの下ではCookieも個人データとして保護される対象となるため、欧州では、Webサイト閲覧時にCookieの使用について同意を求める必要があります。
• 日本企業であっても、EEAやイギリスに拠点を持っているか、そこに住む個人向けにサービスを提供している場合は、GDPRの下で個人データが保護されます。よって、日本を拠点としているYahoo! JAPANは、GDPRに違反するリスクを避けるために、EEAとイギリスへのサービス提供を中止しています。

ヨーロッパやイギリス方面へ海外旅行や出張に行く際に、Yahoo! JAPANなど日本のサイトが閲覧できなくてお困りの場合、VPN接続を海外の滞在先で利用することで、問題を解決できます。

GDPRは、個人データへのアクセスを組織に提供する際に、以下の8つの基本的権利を挙げています。

情報を得る権利

GDPRによると、データ主体は、企業がどのように機密性の高い個人データを収集し、使用するかについて知らされる権利を有します。また、個人は組織が個人データをいつまで保管し、誰がアクセスできるようになるかを知る権利があります。

アクセス権について

データ主体は、自分の個人データへのアクセスを要求し、収集の目的、およびデータ管理者がそれをどのように保存し処理するかについての情報を受け取る権利を有します。

組織が自分のどの情報を保持しているかを知りたい場合、対象者アクセス要求が必要です。リクエストを提出できるのはデータ主体のみで、データ管理者は1か月以内に読みやすいフォーマットで回答を送らなければなりません。

修正する権利

GDPRの下では、個人は、自分に関する誤った、不完全な、または不正確な個人データの訂正を要求する権利を有しています。

消去の権利

データ主体は、管理者に対し、個人情報の永久的な消去を要求する権利を有します。ただし、企業の法的義務を遵守する必要がある場合、データ管理者は個人のデータを削除する義務はありません。

処理を制限する権利

特定の理由により、消去を要求できない場合、またはデータを消去できない場合は、データの使用および処理を制限するよう要求できる権利があります。

データポータビリティの権利

自らが事業者等に提供した個人データを、本人が再利用しやすい形式で受け取る権利を有します。また、技術的に可能であれば、個人データを別の事業者などから直接転送してもらう権利もあります。

異議を申し立てる権利

場合によっては、データ対象者は個人データの処理に反対する権利を有します。たとえば、データがダイレクトマーケティング、科学的調査、または公益上の他のタスクに使用される場合です。

自動的な意思決定に服さない権利

データ主体は、本人に関する、または本人に重大な影響を与える決定が、自動化されたプロセスではなく、人間によって行われることを要求する権利を有します。

これらの権利は、個人データが処理される場所や企業・組織の所在地に関係なく、欧州連合のすべての居住者に適用されます。また、欧州で活動する欧州以外の組織からサービスや商品を購入する方にも適用されます。これらの権利は絶対的なものではなく、一定の免除や制限を受ける可能性があります。

GDPRは、個人データの効果的に保護するために、個人データの管理者の責任を定めています。

• 個人データの保護：個人データ管理者は、個人データの保護に対して責任を持つことが求められます。個人データ管理者は、不正アクセス、紛失、破壊、改ざんなどのリスクに対して技術的・組織的に適切な対策を実施しなければなりません。
• 個人データの取り扱いに関する記録：個人データ管理者は、個人データの各取り扱いに関する記録を残すことが義務付けられています。
• 個人データの取得と処理に関する情報提供：GDPRにより、個人データ管理者は、個人データの取得と処理に関する情報を、事前に明示的に提供する必要があります。具体的には、個人データが収集される目的、収集されるデータの種類、データの保管期間、第三者との共有についてなど、詳細な情報を提供する必要があります。
• 個人データ侵害時の対応：管理者が個人データの侵害に気付いた場合、管理者は原則として、気付いた時点から72時間以内に所轄の監督官庁に通知しなければいけません。やむを得ない理由により72時間以内の通知が不可能な場合は、その理由を通知に記載する必要があります。個人データの侵害が本人の権利と自由に対する高いリスクをもたらす可能性がある場合、管理者は本人にも侵害を通知する必要があります。

GDPRの要件を満たすためには、組織は個人データを保護するためのさまざまな技術的および組織的対策を実施する必要があります。

• データ処理アクティビティの徹底：データの仮名化と暗号化、データの最小化、データの正確性と完全性の保持のほか、データへのアクセスと保存の制御を徹底しましょう。また、組織は、データ主体の要求に応じるための適切な手順、および個人データの安全な破棄を保証するための手順を確保しなければいけません。さらに、組織はデータ処理活動の記録を保存しなければならず、データ処理活動がGDPRを遵守していることを確認するために定期的に監視しなければなりません。
• プライバシーポリシーの作成：GDPRでは、プライバシーポリシーの作成が義務付けられています。これは、個人データの目的および処理を伝え、データ主体の権利を遵守するためです。
• Cookieポリシーの作成：GDPRでは、Webサイト上のCookieを個人情報と定義しており、EEA地域向けのWebサイトを持つ企業は、Cookie取得の同意を得る必要があります。多くの大手企業サイトでは、Cookieポリシーを作成し、この同意取得の仕組みを採用しています。
• データ保護責任者（DPO）の設置：GDPRに対応する際の要件のひとつに、データ保護責任者（DPO）の設置があります。GDPRがDPOの設置を義務付けた目的は、GDPRの通常運用とデータ漏えいなどの緊急対応に誰が責任を持つかを明確にすることで、説明責任を強化することにあります。

一般財団法人日本情報経済社会推進協会（JIPDEC）の「企業のIT活用動向調査2019」によると、「GDPRを認識しているが未対応」「GDPRに特に関心はないが個人情報を移転している」と回答した企業は、合わせると33.3％となり、日本ではGDPRへの対応が遅れている実態が明らかになっています。

GDPRは日本では直接法的拘束力はありませんが、EUでビジネスを行う日本企業やEU市民から個人情報を取得する企業はGDPRを遵守する必要があります。

日本でGDPRへの対応遅れている理由のひとつに、GDPRが日本の改正個人情報保護法よりもかなり厳しいことが挙げられます。たとえば、改正個人情報保護法における個人データの定義が「原則として氏名の記載がないものは対象外」なのに対し、GDPRでは「Cookie、動画像、その他氏名不詳者の履歴データ」を個人情報として定義するなど、実際の準拠を困難とする条件が設けられています。

さらに、GDPR対応を支援するコンサルタントや専門家が圧倒的に不足している現状もあり、日本の組織が外部からの支援を受けることが困難な状況となっています。そのため、GDPR対応を完了していない日本の組織は、自社のリソースで精一杯対応することを余儀なくされているのです。

GDPRに準拠するためには、組織が個人データを取り扱う際に、GDPRに概説されている原則と要件に従わなければなりません。

GDPRの遵守を徹底できない組織は、罰金やその他の罰則の対象となる可能性があります。具体的な罰金や罰則は、コンプライアンスの違反の性質や深刻さ、組織の規模やリソースによって異なります。

GDPRは、データ保護規則の不遵守に対する制裁金の上限金額を2段階に分けて定めています。

• 組織的な対策が疎かなケース：処理活動の記録の保持やデータ保護責任者の指名の不備など、それほど深刻ではない違反に対して、組織は最大1000万ユーロまたは全世界の年間売上高の2％のいずれか高い方の金額を罰金として科される可能性があります。
• 義務違反のケース：法的根拠なく個人情報を処理したり、個人情報漏えいを報告しなかったりするなど、より深刻な違反があった場合、企業は最大2000万ユーロまたは全世界の年間売上高の4％のいずれか高いほうの金額を罰金として科される可能性があります。

罰金以外にも、個人データの処理の一時的または恒久的な禁止、データ処理業務の停止など、データ保護原則の不遵守に対する罰則が適用される場合があります。