GDPRとは？ 日本企業が知っておくべきことや対応ポイントを解説

GDPRとは、正式名称を「General Data Protection Regulation」といい、欧州経済領域（EEA、EU加盟27カ国およびアイスランド、リヒテンシュタイン、ノルウェー）における個人データの取り扱いに関する規則のことです。日本では、GDPRを「EU一般データ保護規則」と呼ぶこともあります。

GDPRは、欧州経済領域内における個人データの保護とプライバシー権を強化することを目的として制定され、平成30年5月25日に施行されました。
なお、EUを離脱したイギリスは令和3年1月1日、GDPRの内容に基づいたUK-GDPR（英国一般データ保護規制）を施行しており、2024年の時点ではEUと同一の基準で運用されていると評価されています。

GDPRは、EEA域内に所在する企業だけでなく、EEA圏内の個人と取引のある企業にも適用されますので、日本企業もGDPRの適用対象となる可能性があります。
そのため、対象となる企業は、GDPRへの対応を進めていかなければなりません。

GDPRは、どのような範囲の企業に対して適用されるのでしょうか。以下では、GDPRの適用対象となる企業の範囲を説明します。

1. （1）GDPRの適用範囲

   GDPR3条によると、個人データの管理者または処理者として、以下のような範囲の企業にGDPRが適用されると定められています。

   • EEA域内に拠点があり個人データを取り扱う場合
   • EEA在住の個人に対する商品またはサービスの提供に関する処理を行う場合
   • EEA域内で行われる個人の行動の監視を行う場合

   このように、GDPRは、EEA圏内に事業所がある場合に限らず適用されますので、EEA圏内に事業所のない日本企業であってもGDPRの規制に対する対策が必要になってきます。

2. （2）GDPRの適用対象となる日本企業

   上記のGDPRの適用範囲を踏まえて、GDPRの適用対象となる日本企業を説明します。

   ① EEA域内に拠点がある企業｜「管理者」
   管理者とは、データ処理の目的や手段を定めてデータの所有権を持っている組織をいいます。たとえば、EU内に本社または支社、営業所などを持つ企業が該当します。
   
   ② EU企業から個人データ処理の委託を受けている企業｜「処理者」
   処理者とは、管理者に代わって個人データを取り扱う組織をいいます。たとえばEEA域内のEU企業からデータ処理の委託を受けた企業は、「処理者」に該当し、GDPRの適用対象となります。
   
   ③ EEA域内の個人に商品やサービスの提供をしている企業
   EEA域内に拠点を持たない日本企業であっても、EEA域内の個人に対して、商品またはサービスの提供をしている場合には、GDPRが適用されます。たとえば、オンラインショップなどを運営する企業がこれにあたります。このような企業は、提供する商品やサービスに関連する個人データの取り扱いついては、GDPRの基準に準拠する必要があります。
   
   ④ EEA域内の個人を監視する企業
   監視とは、特定の個人の行動・常態を長期間にわたり追跡することをいいます。「監視」の範囲は広く、レコメンドやターゲティング広告なども含まれます。たとえば、海外向けにウェブサイトを公開し、サイトを訪問したEEA域内のユーザーの氏名やクッキー情報などを取得していた場合には、GDPRが適用されます。

GDPRにより保護される「個人データ」とは、特定の人（自然人）を識別できる、またはそのデータを参照することで直接的あるいは間接的に特定の人を識別できうる、あらゆる情報をいいます。

具体的には、以下のような情報が「個人データ」に該当すると考えられます。

GDPRの適用対象国は、EEA域内の国に限られず、日本企業も対象になる可能性があります。GDPRの適用対象企業では、主に、以下のような対応が必要になります。

1. （1）個人データの取り扱い状況の確認

   GDPRの適用対象企業であることが判明した場合、まずは現時点における個人データの取り扱い状況を確認しましょう。個人データの取り扱いに関する対策を検討するにあたっては、自社がどのような個人データを保有しているのかを整理する必要があります。
   具体的には、以下のような項目を確認するとよいでしょう。

   • 個人データの種類
   • 個人データ収集および使用の目的
   • 個人データの保存場所
   • 個人データの入手方法
   • 個人データの入手経路

2. （2）データ処理における適法化根拠を決定

   GDPRでは、個人データを違法に処理することを規制対象としていますので、個人データの処理を適法に行うための根拠を決定する必要があります。
   
   GDPRが定める適法化の根拠には、以下のものがあります。

   • 個人データの主体による同意
   • 契約の履行
   • 法的義務の遵守
   • 生命に関する利益の保護
   • 公共の利益
   • 正当な利益

   日本の個人情報保護法では同意要件が活用されることが多いですが、GDPRにおける同意要件は厳格な要請も多く、より個別の適法化根拠への当てはめを検討する必要があります。

3. （3）プライバシーポリシーの改定

   現状の整理ができたら、次は、GDPRの基準に準拠するよう個人情報の取り扱いに関するプライバシーポリシーの改定やGDPRに関する自社規定を作成していきます。
   GDPRの基準を準拠した内容にするためは、主に、以下のような項目を明示する必要があります。

   • 個人データの利用目的
   • データ処理の適法性の根拠
   • 保存期間
   • 取得する個人データの種類・項目
   • 情報収集の方法
   • ユーザーの権利（請求・削除の権利）
   • 管理者の連絡先

4. （4）社内体制の整備

   プライバシーポリシーなどの作成・改定だけでは、形式的な対応にしかなりませんので、GDPRに対応できる社内体制を整備することも必要になります。
   
   GDPRでは、データ保護責任者の設置が求められていますので、特別な事情がない限りはデータ保護責任者を設置するようにしましょう。データ保護責任者の具体的な役割としては、以下のようなものが挙げられます。

   • 個人データを取り扱う従業員に対しGDPRによる義務の通知
   • GDPRに関する組織方針の遵守状況に関するモニタリングの実施
   • 個人データを取り扱う従業員に対し訓練や監査などの実施
   • データ保護影響評価の実施に関する助言と実施状況のモニタリング
   • 取り扱いに関する問題が生じた場合の監督機関との窓口

   なお、企業内でこれらの役割を担う人材が見つからない場合には、社外の専門家に依頼することも検討するとよいでしょう。

5. （5）インシデントフローの構築

   GDPRでは、個人データに関する問題が生じた場合、監督機関に72時間以内に報告することが求められています。72時間を超過してしまうと罰則の対象となりますので、トラブルが生じた場合に迅速に対応できるようなインシデントフローを構築する必要があります。

GDPRに違反した場合には、以下のようなペナルティが課される可能性があります。

1. （1）監督機関による制裁措置

   GDPRに違反した場合、EU加盟国の監督機関により、以下のような制裁措置を受ける可能性があります。

   • 警告や勧告
   • 改善命令
   • 制限措置
   • データ保護違反の通知
   • データ処理活動の一時停止

2. （2）監督機関による制裁金

   GDPRに違反した場合、EU加盟国の監督機関により、以下のような制裁金が科される可能性があります。

   • 1000万ユーロ以下、または直前の会計年度における全世界年間売上高の2％以下のうちいずれか高い方
   • 2000万ユーロ以下、または直前の会計年度における全世界年間売上高の4％以下のうちのいずれか高い方

   制裁金は、違反の重大性、故意性・持続性、被害を受けたデータ主体の人数などを考慮して、制裁金を科すかどうか、制裁金の金額が判断されます。
   
   EU法圏は、個人情報領域に限らず、規制法の執行に熱心な傾向があり、莫大な制裁金も容赦なく科してきていますので、その法的リスクは日本におけるレベルより引き上げて対応する必要があります。

3. （3）個人からの損害賠償請求

   GDPRに違反して個人データの適切な保護が行われず、個人データの漏洩や不正アクセスなどが発生し、個人に損害が生じた場合、当該個人から損害賠償請求をされる可能性があります。

GDPRが適用される企業では、GDPRの基準に準拠した対策を検討していかなければなりません。GDPRに違反すると巨額な制裁金の対象になりますので、十分に注意する必要があります。

もっとも、GDPRは、EUの法律になりますので、国際法務に対応できる弁護士でなければ適切なアドバイスやサポートを受けることはできません。企業によってとるべき対策が異なることも考えられますので、適切な対策を講じるためにも、まずは国際法務に詳しい弁護士に相談することをおすすめします。

なお、ベリーベスト法律事務所では、個人情報の取り扱いおよび、諸外国の個人情報保護法制への対応についてアドバイス・サポートすることが可能です。

GDPRは、個人データの取り扱いに関するEUの法律になりますが、一定の条件を満たす日本企業も適用対象となっています。GDPRに違反すると巨額の制裁金が科される可能性がありますので、適用対象となる企業は、しっかりと対策を講じるようにしましょう。

個人情報関連に関するお悩みは、ベリーベスト法律事務所にお任せください。