GDPR(一般データ保護規則)とは?日本企業がするべき対策を解説
GDPRは欧州連合(EU)が欧州経済領域(EEA)を対象として定めた個人情報の取扱いルールです。日本語では「一般データ保護規則」と呼びます。EUはデータ保護に注力している先進的な地域で、日本の法制度よりも厳格なルールがあります。GDPRはEEA内に拠点がある日本企業はもちろん、拠点がなくても規制の対象となる場合があり、EEA内の企業とデータのやりとりがある企業は対応が必要です。
この記事では、EU加盟各国における個人データ保護の指針GDPRについて、概要や定義、日本企業の対応の必要性について解説します。
マーケターのトレンドを理解する
『マーケティング最新事情』(第8版)
GDPRとは?個人情報保護法との違いも簡単に解説
GDPR(General Data Protection Regulation)とは、欧州連合(EU)による欧州経済領域(EEA)を対象とした個人情報の取扱いルールで、2018年5月から適用されています。
EUはヨーロッパの27ヵ国が加盟する政治・経済統合体で、経済通貨同盟、共通外交・安全保障政策、警察・刑事司法協力など、欧州連合条約に基づいて幅広い分野で協力体制を敷いています。また、EEAは、EUにEFTA(欧州自由貿易連合)に属するノルウェー、アイスランド、リヒテンシュタインを含めた経済圏のことです。
個人情報保護に対する考え方や法律は、国によって大きく異なります。そこで、EUでは1995年にEUデータ保護指令(Directive 95/46/EC)を制定して法制度の共通化を進めてきました。データ保護指令には、EUデータ保護指令の水準に満たないセキュリティレベルの国には個人データを移転できないとする規定があります。
これにより、日本など各国でもルールが整備されるなど、個人情報保護に対する世界的な意識が高まりました。
日本の個人情報保護法との大きな違いは、GDPRは制定当初からIPアドレスやクッキーの情報も個人データに含んでいたことです。IPアドレスは、それだけでは住所や氏名を特定することはできません。しかし、クッキーと組み合わせると個人を特定できる場合があります。なお、2022年4月から改正個人情報保護法が施行され、国内でもクッキーは規制の対象となりました。
GDPRは、EUデータ保護指令に代わる新たな法令で、EU市民の個人データを確実に保護することを目的としています。EUデータ保護指令よりもかなり厳格で、EU以外の地域に与える影響も多大です。もちろん、日本も例外ではありません。その理由は後述します。
GDPRが個人データの取り扱いについて定めているルール
GDPRは個人データの取扱いや管理、監査機関などについて、さまざまなルールを定めています。ひとつずつみていきましょう。
<GDPRが個人データの取り扱いについて定めているルール>
- 個人データの処理・移転に関するルール
- 個人データの管理者と処理者
- 監査機関設置の規定
- 個人データの保護と表現の自由
個人データの処理・移転に関するルール
個人データの管理者と処理者
監査機関設置の規定
個人データの保護と表現の自由
GDPRで個人データに該当しないものは?
GDPRでの個人データは、特定の個人だと識別できる情報と、複数の要素を組み合わせて個人を識別できる情報です。具体的な例を挙げてみましょう。
■個人データの具体例
| 個人データの種類 | 内容 |
| 個人の氏名 |
従業員名簿や、顧客名簿など、個人の氏名がわかるもの |
| 識別番号 |
運転免許証や顔認証データ、パスポートの番号、番号の羅列としてのメールアドレス、クレジットカード番号など |
| 所在地データ |
住所や、GPSデータ、基地局データなど |
| オンライン識別子 |
IPアドレスや、クッキーデータなど |
| 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因 |
健康診断の結果や、宗教的な信念、政治的意見など |
日本企業もGDPR対応・対策する必要がある理由|適用範囲は?
日本企業もGDPRに対応する必要がある理由は、EU域内とデータのやりとりによって、GDPRの適用を受けるためです。GDPRの地理的適用範囲については、データの取扱いがEU域内で行われるものであるかどうかにかかわらず、EU域内の管理者や処理者の拠点の活動で利用する個人データの取扱いに適用されるとしています。つまり、企業の拠点が日本国内にあり、EU域内には物理的な拠点がなくても、EU域内に管理者や処理者がいる企業などと関わりがあれば、適用を受ける仕組みです。
GDPRの対象となり、現地法人の従業員や顧客の個人データを扱う際に注意する必要があるケースをまとめます。
<GDPRの対象となるケース>
- EU域内に子会社や支店、営業所を持っている企業
- EU域内に取引先があり、日本から取引先に商品やサービスを提供している場合
- EU域内から個人データ処理の委託を受けている企業
GDPR違反をした場合の制裁
GDPRでは、違反があった場合のデータの管理者・処理者に課せられる制裁金についても詳細に定めています。EU内の日本企業の子会社などがGDPRに違反した場合、日本の本社なども含めグループ全体で制裁が課される仕組みです。
GDPRに違反した場合、以下のいずれかの制裁金が課されます。非常に高額となる場合もあるので、違反がないように注意しましょう。
| 違反例 |
制裁金の内容 |
手続きの違反
|
1,000万ユーロ(約12億円)以下、もしくは直前の会計年度における世界全体売上総額の2%以下、いずれか高額な方 |
重大な違反
|
2,000万ユーロ(約24億円)以下、もしくは直前の会計年度における世界全体売上総額の4%以下、いずれか高額な方 |
GDPRへの対応は日本企業も必須
GDPRに違反した場合、企業は大きな代償を支払うことになります。GDPRの規制内容や適用範囲とともに、企業内の個人情報の取り扱い状況を見直し、早急に対策を立てましょう。一方で、GDPRへの対応には専門的な知識が必要で、EEA域内の拠点をはじめ総務部門、人事部門など部署を横断した総合的な取り組みが求められます。
自社のみで対応を完結するのは困難なため、専門のソリューションの導入をおすすめします。SalesforceではGDPRへ対応可能なソリューションを提供しています。関連ページでGDPRへの取り組みをご紹介していますので、ぜひご参考としてください。
【関連コンテンツ】
マーケターのトレンドを理解する
『マーケティング最新事情』(第8版)
ガイド
データセキュリティとガバナンス強化の6つの要件とは
調査レポート
ITに変革をもたらす7つのトレンド
プライバシーポリシー
Salesforceのプライバシー保護の取り組み
関連記事・リソース
これからの公共機関が考慮すべきDXとセキュリティとは
2022年 データセキュリティトップトレンド
