GDPRは2018年にEUで施行された個人データ保護規則です。

個人情報の取り扱いについては近年、日本国内でも重要視されていますが、GDPRではさらに詳細な規則があります。

これは個人データを取り扱う日本企業も例外ではありません。
2022年11月には日本企業初となる制裁金が課せられた事例もあります。

本記事ではGDPRについて、その概要や範囲、罰則、注意点、対応ポイントまでを網羅的に解説します。

最後まで読んでGDPRへの対応を万全にしてください。

GDPRとはGeneral Data Protection Regurationの略で日本語に翻訳すると「一般データ保護規則」のことです。

簡単に言うと、欧州連合（ＥＵ）に居住している人の個人情報の処理や収集に対するルールを定めた法令になります。

2018年5月25日に施行され、個人情報の保護という観点から規制を行っています。

GDPRが施行される以前にもＥＵには「ＥＵデータ保護指令」がありましたが、昨今のインターネット社会におけるプライバシーリテラシーをより強化するために作られました。

そのため非常に厳格なルールになっています。

例えば、どういった個人データが対象になっているのかというと
・氏名
・識別番号
・住所
・メールアドレス
・ＩＰアドレス
・Cookie
・位置情報
・トラッキング情報
・クレジットカード情報
・パスポート情報
・身体的、遺伝子的、生理学的、精神的、経済的、文化的、社会的固有性に関する情報

など、幅広い個人データが対象です。

EU圏内に住んでいなかったり、ビジネスを展開していなかったりしてもEU圏内の人の個人データを対象としているので、日本国内の企業も対象となる点に注意が必要です。

ここからはGDPRが施行された背景や概要をより具体的に解説します。

GDPRの対象国は厳密に言うと欧州経済領域（EEA）になります。

これはEUに加盟している28ヵ国の他に
・アイスランド
・ノルウェー
・リヒテンシュタイン

の3つの国を含む30ヵ国が対象です。

先述した通り、個人データの保護に対する強化を目的としており、背景には基本的人権の保護があります。

EEA内外の取引が対象となっていて、基本的にEEA所在者の個人データをやり取りする際に適用されます。

企業の大小は関係なく中小零細企業も法令の対象です。

GDPRの対象となる個人データの考え方

GDPRの対象は個人データになりますが、一般的な個人情報保護より厳格なルールになっている点に注意が必要です。

ここからはGDPRにおける個人データの考え方について解説します。

これらはGDPRのルールを理解するために必須の考え方になります。

1.識別可能性
GDPRの対象とする個人データには「識別可能な自然人に関する情報」という定義があります。

具体的には、
● 氏名
● 住所
● 電話番号
● メールアドレス
● クレジットカード
● 個人識別番号
などが対象です。
要するに、個人を識別できる情報が含まれます。

2.直接的・間接的識別
GDPRが対象とする個人データは、直接的に個人を識別できる情報にとどまりません。

たとえば、IPアドレスやCookie情報などの間接的に識別できる情報も対象とします。

3.匿名化と疑似匿名化
匿名化とは個人データを特定の個人と関連付けできないように変換するプロセスのことです。

たとえば、個人の氏名や住所、電話番号などをランダムな識別子に置き換えることで匿名化を行います。

匿名化された個人データは特定に個人を識別できないため、GDPRの適用外です。

そのためGDPRでは個人データの匿名化を推奨しています。

また疑似匿名化は、特定の個人と個人データを直接的に関連付けないようにするプロセスです。

一部の情報は残ってしまうことが匿名化との違いになります。

疑似匿名化されたデータだけでは個人を特定できませんが、他の情報と組み合わせることで識別が可能になります。

たとえば、匿名化したデータに居住情報や年齢などを追加することで特定の個人を推測できるという仕組みです。

そのため疑似匿名化は、データの有用性は保ちながらもプライバシーを守れる手段として活用されます。

GDPRではこの疑似匿名化も推奨していますが、完全な匿名化ではない点に注意が必要です。

4.個人データの処理や収集
GDPRでは特定の目的のために個人データの処理や収集を行う必要があります。

具体的には個人データを処理、収集するために目的を明確にすることが求められます。

5.データ主体の権利
GDPRではアクセス権や修正権、削除権などの「データ主体」に関する権利を強化しています。

これは個人データの所有者に対する権利の保護を目的としています。

6.適切な法的根拠
GDPRにおいて、個人データを処理する際は

・同意
・契約履行
・法的義務

などの適切な法的根拠が必要です。

これらがGDPRの個人データに関する考え方になります。

GDPRは個人データの保護の強化と個人のプライバシー権を尊重するための規則です。

EEA内外に関係なく、EEA圏の個人に関わるビジネスを行う企業や組織は、これらに適応する対応を進める必要があります。

GDPRの対象は上記の見出しで解説した通りです。

こちらではその規制する内容について解説します。

GDPRの規制内容は大きく以下の3つに分類されます。

・個人データの処理
・個人データの移転
・基本的人権の保護

それぞれ解説します。

個人データの処理
個人データの処理にはメールアドレスの取得やクレジットカード情報、Cookie情報、連絡先や住所、氏名などが該当します。

そのため顧客リスト獲得に必要なメーリングリストの作成や変更などは個人データの処理になります。

個人データの移転
EEA域内で取得した個人データを使ったビジネスを行い、EEA域内以外で展開することは基本的に禁止されています。

たとえばEEA域内でビジネスを展開して、そこで得た個人データをEEA域内の支店に送って閲覧したり、広告を出稿したりすることが規約違反となるのです。

ただし、日本はこの規則の例外の保護設置となる正式認定を受けています。

そのため、日本国内の企業はGDPRにしっかりと準拠していればEEA域内のデータを扱うことができます。

基本的人権の保護
GDPRでは基本的人権の保護を目的とすることが条文で明記されています。

本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する。

引用：GDPR 一般データ保護規則

GDPRが定める基本的人権の保護としては
● 16歳未満の子供は保護者の同意が必要
● データ主体の同意を撤回できる権利
● 個人データをデータ主体を直接的に取得していない場合は、データ主体は適切な情報を提供する
という3つが重要となります。

GDPRの対象範囲
GDPRの適用範囲はEEA域内（押収経済領域）の個人データになります。

具体的にはEU（27ヵ国）+3ヵ国です。

■EU（27ヵ国）
● アイルランド
● イタリア
● エストニア
● オーストリア
● オランダ
● キプロス
● ギリシャ
● クロアチア
● スロベニア
● スロバキア
● フィンランド
● スウェーデン
● ベルギー
● ブルガリア
● チェコ
● デンマーク
● ドイツ
● スペイン
● フランス
● ハンガリー
● マルタ
● ポーランド
● ポルトガル
● ルーマニア

■EEA（30ヵ国）
EU加盟28ヵ国//アイスランド/ノルウェー/ リヒテンシュタイン

これらの国の個人データがGDPRの対象となります。

ここまででGDPRは個人データについての法令ということはわかったと思いますが「個人情報保護法と何が違うの？」と思われた方もいるのではないでしょうか。

こちらではGDPRと個人情報保護法の違いについて解説します。

個人情報保護法とは
個人情報保護法は日本国内の企業や個人ビジネスなどに適用される法律です。

主に個人と特定できる情報の保護を目的としており、
・氏名
・住所
などが対象です。

2022年以前はサードパーティCookieは対象となっていませんでしたが、2022年の改訂によりこれらも対象になりました。

逆に電話番号やIPアドレスは個人情報保護法の対象外です。

もし個人情報保護法に違反した場合は30万円以下の罰則が課せられます。

GDPRとの違い
GDPRはEUで作られた法令でEU域内外の個人データを厳しく規制しています。

またGDPRに違反した場合の罰則は非常に多額で、数十億規模の違約金が発生することも珍しくありません。

その点、日本の個人情報保護法は30万円以下の罰金なので、違約金の額が全く違います。

そのため、EU居住者に対しての個人データの取り扱いは、日本国内と同じ認識で行っているとかなり危険です。

EU圏にビジネス展開する場合はGDPRの対応は必須で、個人情報後保護法より厳格なルールが定められている点に注意しましょう。

GDPRの注意点としては、これまで紹介した個人データの取り扱いや対象はもちろんですが、IPアドレスやCookieも対象という点です。

IPアドレスやCookie情報は所謂「オンライン識別子」の処理に分類されます。

日本国内の個人情報保護法でもサードパーティCookieは個人情報に分類されていますが、IPアドレスは含まれません。

しかしGDPRではIPアドレスも個人データとして扱われます。

例えばWeb広告のリテーゲティングなどで主に利用される情報になりますが、EEA域内のユーザーのIPアドレスを取得するとGDPRの対象になるのです。

過去にもスペイン航空会社がCookieの利用規約の許諾を実装していなかったとして、420万円の制裁金が課せられました。

そのためオンライン識別子の扱いには日本企業も注意が必要です。

なお、オンライン識別子はユーザーがデータの取得や目的に同意した場合は規制の対象外になります。

こちらでは具体的にGDPRが日本企業に影響を与えるケースと対応ポイントを解説します。

GDPRが日本企業に影響を与えるケースは以下の4つです。

●EEA域内に支店や子会社がある
●EEA域内のユーザーに商品･サービスを提供している
●EEA域内のユーザーの行動データを把握･分析している
●EEA域内の個人データ処理の委託を受けている

上記のいずれかに当てはまる場合はGDPRの対象となります。

EEA域内で事業を行っている場合はもちろん、支店や子会社がある場合は適用されます。

当然のことですが、EEA域内のユーザーに商品やサービスを提供している場合は個人データを扱うことになるためGDPRの対象です。

また、仮にユーザーが商品やサービスを購入しなかったり、支店や子会社がなかったりした場合でもユーザーの行動データを分析するために収集すると対象になります。

たとえばインターネット上でEEA域内のユーザーがサイトを訪問し氏名やCookie情報を取得したらGDPRが適用されます。

その他、日本国内の企業がEEA域内の企業から委託を受けてデータ処理を行う場合も対象です。

GDPRの対応に求められる8つのポイント

自社がGDPRの対象になる場合は以下の8つの対応ポイントに留意しましょう。

●所有する個人データの管理
●個人情報の漏えい等のインシデントへの対応フローの構築
●プライバシーポリシーの改訂
●本人が個人情報に関係する権利を行使できる機能整備 (CMPツールの導入)
●データ保護オフィサーの設置
●外部の委託先や協力会社の選定
●個人情報の取得同意のルール構築
●データ保護影響評価の実施

上記はEEA域内で事業を行う際はマストの対応ポイントです。

GDPRに違反した場合は次の2パターンの罰則が監督機関から課せられます。

①最大で世界全体における売上総額2%以下、もしくは1000万ユーロのいずれか高い額が採用

② 最大で企業の全世界年間売上高4％以下、もしくは2000万ユーロ以下のいずれか高い額が採用

例えば、世界全体の売上が2000億円だった場合40億円、もしくは80億円という非常に厳しいペナルティが課せられることになります。

ただ、制裁金の額は違反の重大性や
・持続期間
・故意性
・被害を被ったデータ主体の人数
によって個別に判断されます。

そのため、上記の2つのルールがそのまま適用されない点に気をつけてください。

日本企業もGDPRに違反して制裁金が課せられた事例もありますが、制裁金は6万4000ユーロ、日本円にして約940万円でした。

これらの金額は事業規模にもよりますが、早急に監督局に通知を行ったり、個人データの保護レベルを強化する施策を行ったりすることが考慮されて、取り決められた罰則の金額より低い制裁金に留まるケースもあります。

ここまででGDPRはEEA圏内に支店や子会社を持つ日本国内の企業だけでなく、EEA圏内に商品・サービスを提供している企業はすべてが対象になることがお分かりいただけたでしょう。

現代ではインターネットを使った多くの企業が世界中にビジネスを展開しているため、非常に多くの日本企業もGDPRの対象となります。

そのため、個人データの取り扱いにはより一層厳格な対応策が求まられるのです。
具体的な対応としていは以下があげられます。

現状の把握
まずは自社がどのように個人データを収集、処理しているかの取り扱いを詳細に把握しておきましょう。

具体的には、自社が扱う個人データや個人情報の何が対象となって、どういったプロセスを経て取り扱われているのかを明確にします。

社内体制の整備
GDPRに準拠するためには社内の体制作りが欠かせません。

データ保護責任者（DPO）を選任して社内のデータ保護に関する指針やプロセスを統一しましょう。

セキュリティの強化
GDPRを守るためには、そもそも個人データが迂闊に漏洩などしないようにセキュリティを強化する必要があります。

具体的には
・暗号化
・アクセス制御
・監視
などのセキュリティ対策を実施しましょう。

プライバシーポリシーの改訂
個人データの取り扱いについてGDPRに準拠したプライバシーポリシーを作成します。

その上で、個人データや個人情報の取り扱いについて監査機関に伝わるよう明確に記載してください。

GDPRの対応はEEA域内に拠点や支店を持つ企業だけが対象ではありません。

そのため日本企業も対象になり、違反した場合は厳しい罰則が課せられます。

本記事ではGDPRの概要や範囲、対応や罰則までを詳細に解説しました。

紹介した内容をしっかりと理解して、GDPRに対して万全の対策を進めてください。

神澤　肇（カンザワ　ハジメ）
リボンハーツクリエイティブ株式会社　代表取締役社長

創業40年以上の制作会社リボンハーツクリエイティブ(RHC)代表。
企業にコンテンツマーケティングを提供し始めて約15年。
数十社の大手企業オウンドメディアの企画・制作・運用を担当。
WEBを使用した企業ブランディングのプロフェッショナル。
映像業界出身で、WEB、紙媒体とクロスメディアでの施策を得意とする。
趣味はカメラとテニス、美術館巡り、JAZZ好き。