GDPRとは？企業に求められる対応とポジティブな影響について

Jul 15, 2021 |

インフォマティカ編集部

2018年5月25日、「GDPR（General Data Protection Regulation：EU一般データ保護規則）」と呼ばれる個人情報保護規定が施行されました。これは従来の「EUデータ保護指令（EU Data Protection Directive）」に代わるもので、インターネット技術の進歩とグローバリゼーションの進展を背景に、より強力な個人情報保護・プライバシー保護を目的としています。

GDPRはEEA（EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー）で発効し、基本的にはEEA域内から第三国への個人データ移転を禁止するものです。ここでいう個人データとは、「識別された、または識別され得る個人（「データ主体」）に関するすべての情報」のことです。具体的には以下のような情報を含みます。

個人の氏名
識別番号
所在地データ
メールアドレス
オンライン識別子（IPアドレス、クッキー識別子）
身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的固有性に関する要因

規制に違反して個人データを移転した企業には「最大で企業の全世界年間売上高の4％以下、もしくは2000万ユーロ以下のいずれか高い額（約28億円）」と、非常に高額な制裁金が課されます。

GDPRの対象となる企業

GDPRの条文では、規制の対象について「その取扱いが域内で行われるものであるか否かを問わず、域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される」としています。

ここでポイントとなるのは「域内の管理者又は処理者の拠点」という言葉です。この拠点とは、必ずしも本店だけを指す言葉ではありません。つまり

EEA域内に子会社、支店、営業所を有している企業

であれば、GDPRの対象となるというわけです。また続く条文によると、

圏内に商品やサービスを提供している企業
圏内から個人データの処理について委託を受けている企業

上記も規制の対象に含まれます。このことから、拠点や物理的な装置（サーバーなど）がEEA域内にあるかどうかにかかわらず、域内の企業や個人と何らかの取引を行っている企業はすべてGDPRの対象となります。

GDPRによって求められる行動

GDPRでは個人データの取り扱いに関するさまざまなルールや個人の権利、企業の義務を定めています。その中でも特に企業が留意すべきポイントは、以下の3点です。

データ主体の同意

プライバシーポリシーの作成

データ保護責任者（DPO：Data Protection Officer）の設置

データ主体（個人データの本人）の同意は、原則として個人データを取得する際に必要です。企業は「別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて」同意を求めなければなりません。なおデータ主体はいつでも同意を撤回することができます。

プライバシーポリシーは「簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて」示すことが必要です。記載事項の具体的な指定はありませんが、個人データ保護に関する基本方針や取得するデータの種類、その管理方法や利用方法、第三者への提供の条件や問合せ窓口などは必須でしょう。域内を対象とするWebサイトを開設している場合はCookieポリシーも必要です。

データ保護責任者を設置する必要があるのは、大量の個人データを処理または保管する組織です。データ保護責任者には少なくとも以下の責任が課せられています。

管理者又は処理者及び取扱いを行う従業者に対し、本規則及びそれ以外のEU若しくは加盟国のデータ保護条項による義務を通知し、かつ助言すること
取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、本規則の遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を監視すること
要請があった場合、第35条によるデータ保護影響評価に関して助言を提供し、その遂行を監視すること
監督機関と協力すること
取扱いと関連する問題に関し、監督機関の連絡先として行動すること