CREX|Security

CREX|Security

GDPRとは?日本企業への影響と対応すべきことをわかりやすく解説

更新日:

GDPRとは?日本企業への影響と、対応すべきことをわかりやすく解説

現代のビジネスにおいて、データの活用は不可欠な要素となっています。一方で、個人データの保護は世界的に重要な課題として認識されており、その代表的な規制がEUの「GDPR(一般データ保護規則)」です。

GDPRは、EU域内の個人のデータ保護を強化するために制定された法律ですが、その適用範囲はEU域内にとどまりません。EUに商品やサービスを提供している、あるいはEU域内の個人データを扱う日本企業も、GDPRの適用対象となります。もし違反すれば、全世界の年間売上高の4%という巨額の制裁金が科される可能性があり、企業経営に深刻な影響を及ぼしかねません。

しかし、GDPRへの対応は単なるリスク回避ではありません。顧客のプライバシーを尊重し、データを適切に管理する姿勢を示すことは、企業の信頼性を高め、グローバル市場での競争力を強化するための重要な一手となります。

この記事では、GDPRの基本概念から、日本企業が具体的に何をすべきかまで、専門的な内容を分かりやすく、網羅的に解説します。GDPRの全体像を理解し、自社に必要な対応策を検討するための一助となれば幸いです。

GDPR(EU一般データ保護規則)とは

GDPR(EU一般データ保護規則)とは

GDPR(General Data Protection Regulation:一般データ保護規則)は、欧州連合(EU)における個人の基本的人権である「個人データ保護」を強化し、統一するために制定された包括的な規則です。2018年5月25日から全面的に施行され、現代のデジタル社会におけるデータ保護のグローバルスタンダードと位置づけられています。

GDPRが制定された背景には、テクノロジーの急速な進化と、それに伴う個人データの収集・利用の爆発的な増加があります。インターネットの普及、スマートフォンの登場、SNSやEコマースの拡大により、企業はかつてないほど大量の個人データを簡単に収集できるようになりました。これらのデータは、マーケティングや新サービスの開発に活用される一方で、不適切な取り扱いによるプライバシー侵害やデータ漏洩のリスクも増大しました。

GDPR以前にも、EUには「EUデータ保護指令(Data Protection Directive 95/46/EC)」というルールがありましたが、これは1995年に制定されたもので、現代のデジタル環境に十分に対応できているとは言えませんでした。また、「指令(Directive)」は、各国がその内容を国内法として制定する必要があったため、EU加盟国間でルールにばらつきが生じていました。

そこで、これらの課題を解決し、EU全域で一貫性のある強力なデータ保護法制を確立するために制定されたのがGDPRです。GDPRは「規則(Regulation)」であるため、EU加盟国で直接的な法的拘束力を持ち、各国で法制化する必要がありません。これにより、EU全域で統一されたデータ保護のルールが適用されることになりました。

GDPRの根底にあるのは、「個人データの保護は、個人の基本的な権利である」という理念です。これは、企業がデータを自由に利用するためのルールというよりも、あくまで個人の権利を守ることを最優先に考えた法律であることを意味します。そのため、GDPRではデータを取り扱う事業者(管理者および処理者)に対して、データ保護に関する様々な義務を課し、一方でデータを提供する個人(データ主体)には、自らのデータをコントロールするための強力な権利を与えています。

具体的には、企業が個人データを収集・利用する際には、明確な法的根拠が必要となり、その利用目的を本人に分かりやすく説明する義務があります。また、収集するデータは必要最小限に留めなければならず、保管期間も限定されます。さらに、データ主体は自らのデータへのアクセス、訂正、消去(「忘れられる権利」として知られています)などを企業に要求できます。

そして、GDPRの最も大きな特徴の一つが、その「域外適用」です。これは、事業者の所在地がEU域内にあるかどうかにかかわらず、EU域内にいる個人の個人データを扱う場合には、GDPRが適用されるというルールです。このため、日本の企業であっても、EU市場でビジネスを展開していたり、EUの顧客情報を扱っていたりする場合には、GDPRを遵守する義務が生じます。

違反した場合の罰則が極めて厳しいことも、GDPRが世界中の企業から注目される理由です。違反の程度に応じて、最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方という、巨額の制裁金が科される可能性があります。これは、企業にとって事業の存続に関わるほどのインパクトを持つものであり、GDPR対応が単なるコンプライアンス上の課題ではなく、重要な経営課題であることを示しています。

GDPRは、単にEU域内向けの法律というわけではなく、グローバルにビジネスを展開するすべての企業が理解しておくべき、データガバナンスの新たな世界基準と言えるでしょう。この規則を正しく理解し、適切に対応することが、これからの企業活動において不可欠となります。

GDPRの適用対象となる日本企業

GDPRの大きな特徴は、その適用範囲がEU域内に限定されない「域外適用」の規定を持つ点です。これにより、日本に本社を置く企業であっても、特定の条件を満たす場合にはGDPRの遵守が求められます。自社が適用対象となるかどうかを正しく判断することが、GDPR対応の第一歩です。

GDPR第3条では、適用範囲について定められており、主に以下の3つのケースに該当する場合、日本企業もGDPRの適用対象となります。

EU域内に拠点(子会社・支店など)がある

最も分かりやすいケースが、EU加盟国およびEEA(欧州経済領域)加盟国域内に、子会社、支店、営業所などの事業拠点を設立している場合です。この場合、その拠点の事業活動の過程で取り扱われる個人データは、そのデータがEU域内で処理されるか域外で処理されるかを問わず、GDPRの適用を受けます。

ここでいう「拠点(establishment)」の解釈は広く、単なる法的な登記があるかどうかだけでは判断されません。安定的かつ実質的な活動を行うための人的・技術的リソースを備えた拠点であれば、駐在員事務所のような形態でも該当する可能性があります。

例えば、日本の自動車メーカーがドイツに販売子会社を設立しているとします。このドイツ子会社が、現地の顧客や従業員の個人データを取り扱う活動は、当然ながらGDPRの対象です。さらに、そのドイツ子会社が収集した顧客データを、分析や管理のために日本の本社に送る場合でも、そのデータ処理全体がGDPRの規制下に置かれます。つまり、日本の本社側も、そのデータに関してはGDPRを遵守した取り扱いが求められるのです。

EU域内の個人に商品やサービスを提供している

EU域内に物理的な拠点がなくても、GDPRの適用対象となる場合があります。それが、EU域内にいる個人(所在地が基準であり、国籍は問わない)に対して、意図的に商品やサービスを提供している場合です。

この「提供」が意図的なものかどうかは、いくつかの要素から総合的に判断されます。

意図的と判断されやすい要素(例) 意図的と判断されにくい要素(例)
ウェブサイトがEU加盟国の公用語(ドイツ語、フランス語など)で表示されている ウェブサイトが日本語のみで構成されている
価格表示がユーロ(EUR)などEU加盟国の通貨建てになっている 価格表示が日本円(JPY)のみである
EU域内の顧客からの注文を受け付け、配送を行っている 海外発送に対応していない
EU域内向けの広告やマーケティング活動を行っている 日本国内向けのマーケティングのみを行っている
ウェブサイトのドメインが「.de」や「.fr」などEU加盟国の国別トップレベルドメインである ドメインが「.co.jp」や「.jp」である

例えば、日本の企業が運営するEコマースサイトが、日本語と英語に加えてフランス語にも対応し、フランスへの発送オプションとユーロでの決済機能を提供している場合、これは明らかにEU域内の個人へのサービス提供と見なされ、そのサイトで収集される顧客の氏名、住所、メールアドレス、購入履歴といった個人データはGDPRの適用対象となります。

一方で、単にウェブサイトがEU域内からアクセス可能であるというだけでは、直ちにGDPRの適用対象とはなりません。あくまで、事業者がEU市場にアプローチしようとする「意図」があったかどうかが重要な判断基準となります。

EU域内の個人データを扱う業務を委託されている

自社が直接EUの顧客と取引をしていなくても、GDPRの適用対象になるケースがあります。それは、GDPRの適用を受ける企業(データ管理者)から、EU域内の個人データを含む情報処理業務を委託されている場合です。この場合、委託先の日本企業は「処理者(Processor)」としてGDPRの義務を負うことになります。

GDPRでは、個人データの利用目的や処理方法を決定する主体を「管理者(Controller)」、管理者の指示に従ってデータ処理を実際に行う主体を「処理者(Processor)」と区別しています。

例えば、フランスに本社を置く企業(管理者)が、顧客管理システムの運用・保守を日本のIT企業(処理者)に委託したとします。このシステムにはフランスの顧客の個人データが含まれています。この場合、日本のIT企業は、管理者の指示の範囲内でのみデータを処理することが許され、データのセキュリティを確保する義務や、データ侵害が発生した場合に管理者に報告する義務など、GDPRで定められた処理者としての責任を負うことになります。

クラウドストレージサービス、データ分析サービス、SaaSプロバイダー、コールセンター業務など、多くのBtoBサービスがこの「処理者」に該当する可能性があります。自社のサービスが、GDPR適用対象企業によって利用され、その過程でEU域内の個人データを取り扱う可能性があるかどうかを慎重に検討する必要があります。

これらの3つのケースのいずれかに該当する場合、日本企業はGDPRへの対応を真剣に検討しなければなりません。自社のビジネスモデルやデータの流れを正確に把握し、適用対象となるかどうかを見極めることが、すべての対策の出発点となります。

GDPRにおける「個人データ」の範囲と定義

GDPRを理解する上で極めて重要なのが、「個人データ(Personal Data)」の定義です。GDPRが保護の対象とする個人データの範囲は、日本の個人情報保護法と比較して非常に広く、これまで個人情報として意識されてこなかった情報も含まれる可能性があります。この定義を正確に理解することが、GDPR対応の範囲を見誤らないために不可欠です。

GDPR第4条(1)において、個人データは「識別された、または識別されうる自然人(’identified or identifiable natural person’)に関するあらゆる情報」と定義されています。

ここでのポイントは、「識別された」だけでなく「識別されうる」という部分です。つまり、その情報単体では個人を特定できなくても、他の情報と組み合わせることで個人を特定できる可能性がある情報も、個人データに含まれるのです。

具体的には、以下のような情報が個人データに該当します。

  • 基本的な識別情報: 氏名、住所、生年月日、電話番号、メールアドレス
  • 公的な識別子: パスポート番号、IDカード番号、社会保障番号
  • オンライン識別子: IPアドレス、Cookie ID、広告識別子(IDFA, AAIDなど)
  • 位置情報: GPSデータ、Wi-Fiアクセスポイントの位置情報
  • 身体的・生理学的情報: 顔写真、指紋、虹彩などの生体認証データ
  • 経済的情報: 銀行口座番号、クレジットカード番号
  • 文化的・社会的情報: 職歴、学歴、所属団体

さらにGDPRでは、特に慎重な取り扱いが求められる「特別カテゴリの個人データ(Special categories of personal data)」を定めています。これには、人種的・民族的出身、政治的意見、宗教的・哲学的信条、労働組合への加入、遺伝子データ、健康に関するデータ、性的指向に関するデータなどが含まれます。これらのデータは、原則として処理が禁止されており、本人の明確な同意がある場合など、ごく限られた例外的な場合にのみ取り扱いが許されます。

日本の個人情報保護法との違い

日本の個人情報保護法(APPI)も個人データを保護する法律ですが、GDPRと比較するとその対象範囲に違いがあります。特に、オンライン識別子の扱いが大きな相違点です。

日本の個人情報保護法では、「個人情報」は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義されています。Cookie IDやIPアドレス単体では、通常、特定の個人を識別できないため、これまでは「個人情報」には該当しないと解釈されることが一般的でした(ただし、他の情報と容易に照合でき、それにより特定の個人を識別できる場合は個人情報に該当します)。

しかし、GDPRではこれらのオンライン識別子も、ユーザーの行動を追跡しプロファイリングに利用できるという点で「識別されうる」情報と見なし、原則として個人データとして扱います

項目 GDPRにおける「個人データ」 日本の個人情報保護法における「個人情報」
基本定義 識別された、または識別されうる自然人に関するあらゆる情報 特定の個人を識別できる情報(他の情報と容易に照合できる場合を含む)
氏名・住所など 該当する 該当する
IPアドレス 原則として該当する 単体では原則として該当しない(他の情報と容易に照合できる場合を除く)
Cookie ID 原則として該当する 単体では原則として該当しない(他の情報と容易に照合できる場合を除く)
メールアドレス 該当する 該当する(ユーザー名などから個人を特定できる場合)
位置情報 該当する 該当する(他の情報と容易に照合できる場合など)

このように、GDPRが保護するデータの範囲は、日本の法律よりも広いということを強く認識しておく必要があります。日本国内の感覚で「これは個人情報ではない」と判断しているデータも、GDPRの下では規制対象となる可能性があるのです。

Cookie情報も対象になる

GDPR対応において特に注意が必要なのが、Cookieの取り扱いです。前述の通り、GDPRではCookie IDのようなオンライン識別子も個人データと見なします。これは、Webサイトの閲覧履歴や広告のクリック履歴などを通じて、ユーザーの興味・関心を分析する「プロファイリング」が可能になるためです。

GDPRに加え、EUには「eプライバシー指令(ePrivacy Directive)」という、電子通信におけるプライバシー保護を定めたルールもあります。この指令(通称:Cookie法)では、ユーザーの端末にCookieなどの情報を保存・アクセスする場合、原則としてユーザーから事前の同意を得ることが義務付けられています。

この二つの法規制により、EU域内のユーザーに対してCookieを利用する際には、厳格な同意取得手続きが求められます。具体的には、以下のような要件を満たす必要があります。

  • 事前の明確な同意(Opt-in): ユーザーがWebサイトを訪問した際に、いきなりCookieを付与するのではなく、まずCookieを利用することについて説明し、ユーザーが「同意する」などの積極的なアクションを起こして初めてCookieを付与できる「オプトイン方式」が求められます。
  • 同意の粒度: 必須Cookie、分析Cookie、広告Cookieなど、Cookieの種類ごとにユーザーが選択して同意できるようにする必要があります。
  • 同意の撤回の容易さ: ユーザーが一度同意した後でも、いつでも簡単にその同意を撤回できる仕組みを提供しなければなりません。

日本でよく見られる「当サイトはCookieを使用しています。サイトの閲覧を続けることで、これに同意したものとみなします」といった通知は、ユーザーの積極的なアクションを伴わないため、GDPRの下では有効な同意とは見なされません。

自社のWebサイトがEU域内からアクセスされ、Cookieを利用してアクセス解析や広告配信を行っている場合、GDPRに準拠したCookie同意管理バナーの設置が必須となります。この点を軽視すると、意図せずGDPRに違反してしまうリスクがあるため、十分な注意が必要です。

GDPRの基本となる主な原則と権利

GDPRは、単なる禁止事項の羅列ではなく、データ保護を実現するための体系的なフレームワークを提供しています。その中核をなすのが、「個人データを処理する上での原則」と「データ主体に認められる権利」です。これらを理解することは、GDPRの精神を把握し、具体的な対応策を講じる上での基礎となります。

個人データを処理する上での6つの原則

GDPR第5条では、事業者が個人データを処理する際に遵守すべき6つの基本原則を定めています。これらは、データを取り扱う際の心構えとも言えるものです。

原則 概要 具体例
1. 適法性、公正性、透明性 (Lawfulness, fairness and transparency) データ処理は、法的な根拠に基づき、公正な方法で行われ、データ主体に対して透明性を確保しなければならない。 プライバシーポリシーで、どのようなデータを、何の目的で、どのくらいの期間利用するのかを、平易な言葉で明記する。
2. 目的の限定 (Purpose limitation) 個人データは、特定され、明確かつ正当な目的のために収集されなければならず、その目的と両立しない方法で処理してはならない。 商品の発送のために収集した顧客の住所を、本人の同意なくマーケティングDMの送付に利用してはならない。
3. データの最小化 (Data minimisation) 収集する個人データは、処理の目的に照らして、適切かつ関連性があり、必要なものに限定されなければならない。 メールマガジンの登録に、氏名や住所は不要であれば、メールアドレスのみを収集する。
4. 正確性 (Accuracy) 個人データは、正確で、必要な場合には最新の状態に保たれなければならない。不正確なデータは遅滞なく消去または訂正されなければならない。 顧客から住所変更の連絡があった場合、速やかにデータベースを更新する体制を整える。
5. 保管期間の制限 (Storage limitation) 個人データは、処理の目的のために必要な期間を超えて、個人が識別できる形で保管してはならない。 退会したユーザーの個人データは、法的義務など保持すべき正当な理由がない限り、一定期間経過後に確実に削除する。
6. 完全性および機密性 (Integrity and confidentiality) 個人データは、不正アクセスや漏洩、破壊、紛失などから保護するため、適切な技術的・組織的対策によって安全に処理されなければならない。 データベースへのアクセス制限、データの暗号化、従業員へのセキュリティ教育などを実施する。

これらの原則は、GDPRコンプライアンスの根幹をなします。事業者は、自社のあらゆるデータ処理活動が、これらの原則をすべて満たしていることを確認し、それを証明できる状態(アカウンタビリティ、説明責任)にしておく必要があります。

データ主体に認められる7つの権利

GDPRは、事業者に義務を課すだけでなく、個人(データ主体)が自らのデータをコントロールするための強力な権利を保障しています。企業は、これらの権利行使の要求に適切に対応できる体制を整備しなければなりません。

権利 概要 企業の対応
1. アクセス権 (Right of access) データ主体は、自分の個人データが処理されているかを確認し、処理されている場合はそのデータや関連情報(処理目的、データの種類など)のコピーを要求できる。 本人確認を行った上で、要求された情報を定められた期間内(原則1ヶ月以内)に提供する。
2. 訂正権 (Right to rectification) データ主体は、自分に関する不正確な個人データを訂正させることができる。 訂正要求を受け付け、速やかにデータを修正するプロセスを構築する。
3. 消去権(忘れられる権利)(Right to erasure / ‘right to be forgotten’) データ主体は、特定の条件下で(例:データが不要になった、同意を撤回した)、自分の個人データを消去するよう要求できる。 消去要求の正当性を判断し、他の法令で保持が義務付けられていない限り、データを削除する。
4. 処理の制限権 (Right to restriction of processing) データ主体は、データの正確性に争いがある場合など、特定の状況下でデータの処理を一時的に制限するよう要求できる。 制限中は、データの保管以外の処理を行わないようにする。
5. データポータビリティ権 (Right to data portability) データ主体は、自らが提供した個人データを、構造化され、一般的に利用され、機械可読な形式で受け取り、他の事業者に移転するよう要求できる。 CSV形式などでデータを出力し、本人または本人が指定する別の事業者に提供できる仕組みを準備する。
6. 異議を唱える権利 (Right to object) データ主体は、ダイレクトマーケティング目的の処理など、特定のデータ処理に対して異議を唱えることができる。 異議が申し立てられた場合、正当な理由がない限り、そのデータ処理を中止しなければならない。
7. 自動化された意思決定の対象とならない権利 プロファイリングなど、自動化された処理のみに基づく、自らに重大な影響を及ぼす決定(例:オンラインでの融資審査)の対象とならない権利。 人間による再審査を要求できる仕組みや、決定について説明を求める窓口を設ける。

これらの権利の中でも、特に「忘れられる権利」と「データポータビリティ権」は、GDPRによって新たに強化された、あるいは創設された権利として注目されます。企業は、これらの権利行使に対応するための専用の窓口を設置し、要求を受け付けてから原則1ヶ月以内に対応を完了させるための社内プロセスを確立しておく必要があります。

GDPR対応とは、これらの原則を遵守し、データ主体の権利を尊重する組織文化と具体的な仕組みを構築することに他なりません。技術的な対策だけでなく、組織全体の意識改革が求められる、包括的な取り組みなのです。

GDPRに違反した場合の罰則(制裁金)

GDPRに違反した場合の罰則(制裁金)

GDPRが世界中の企業に大きなインパクトを与えている最大の理由の一つは、その違反に対して科される罰則、特に制裁金の額が極めて高額であることです。GDPR対応を怠った場合のリスクを正しく認識することは、経営層に対応の重要性を理解してもらう上で不可欠です。

GDPRにおける制裁金は、違反の性質や重大性に応じて、2つの階層に分かれています。重要なのは、制裁金の上限が、固定額と「全世界年間売上高」に対する割合の、いずれか高い方で設定されている点です。これにより、企業の規模が大きければ大きいほど、制裁金の額も青天井に高くなる可能性があります。

■制裁金の上限額

  1. より重大な違反に対する制裁金
    • 上限: 2,000万ユーロ(約34億円 ※)または、前事業年度の全世界年間売上高の4%の、いずれか高い方

    この高額な制裁金が適用されるのは、GDPRの中核をなす原則や権利を侵害するような、特に重大な違反です。
    * データ処理の基本原則(第5条)に関する違反: 適法性、目的の限定、データの最小化などの原則を守らなかった場合。
    * データ処理の法的根拠(第6条)に関する違反: 有効な同意を得ずにデータを処理した場合など。
    * データ主体の権利(第12条~第22条)に関する違反: アクセス権や消去権などの要求に適切に応じなかった場合。
    * 個人データの域外移転(第44条~第49条)に関する違反: 十分性認定やSCCなどの適切な措置を講じずに、EU域外へデータを移転した場合。

  2. 一般的な違反に対する制裁金
    • 上限: 1,000万ユーロ(約17億円 ※)または、前事業年度の全世界年間売上高の2%の、いずれか高い方

    こちらは、主に事業者側の義務や手続きに関する違反が対象となります。
    * データ管理者・処理者の義務に関する違反: DPOの選任義務、データ保護影響評価(DPIA)の実施義務、データ処理記録の作成義務などを怠った場合。
    * データ侵害時の通知義務(第33条、第34条)に関する違反: データ漏洩が発生した際に、監督機関やデータ主体への報告を怠った、または遅延した場合。
    * 設計段階からのデータ保護(Data Protection by Design and by Default)の原則(第25条)に関する違反

※1ユーロ=170円で換算した場合の参考値。為替レートにより変動します。

実際に科される制裁金の額は、これら上限の範囲内で、各国のデータ保護監督機関(DPA: Data Protection Authority)が個別の事案ごとに、以下の要素を総合的に考慮して決定します。

  • 違反の性質、重大性、継続期間
  • 違反の対象となったデータ主体の数と、彼らが受けた損害のレベル
  • 違反が意図的であったか、過失によるものであったか
  • 違反を発見した後に、事業者が損害を軽減するために取った措置
  • 事業者の過去の違反歴
  • 監督機関への協力姿勢

制裁金は単なる「罰金」ではなく、GDPR遵守を企業に強く促すための抑止力として設計されています。実際に、GDPR施行後、欧米の巨大IT企業などが、数億ユーロ(数百億円)規模の制裁金を科された事例が相次いで報告されており、その厳格な運用が示されています。

さらに、リスクは制裁金だけではありません。監督機関は制裁金に加えて、以下のような是正措置を命じる権限も持っています。

  • データ処理の一時的または永久的な禁止命令: 違反が是正されるまで、あるいは恒久的に、特定のデータ処理活動を停止させられる可能性があります。これは、事業の根幹に関わるサービス提供が不可能になることを意味し、企業にとって致命的な打撃となり得ます。
  • コンプライアンス遵守命令: GDPRに適合するよう、具体的な是正策を講じることを命じられます。

これらの金銭的・事業的なリスクに加えて、GDPR違反が公になることによるレピュテーション(企業評判)の低下も計り知れない損害です。顧客や取引先からの信頼を失い、ブランドイメージが大きく傷つく可能性があります。

このように、GDPR違反のペナルティは多岐にわたり、いずれも企業経営に深刻な影響を及ぼすものです。GDPR対応は、コストではなく、グローバルに事業を継続するための重要な「投資」と捉えるべきでしょう。

日本企業がGDPRに対応するためにすべき8つのこと

GDPRの適用対象となる可能性がある日本企業は、具体的な対応策を講じる必要があります。これは一度きりのプロジェクトではなく、継続的な取り組みが求められるプロセスです。ここでは、GDPRコンプライアンスを達成するために企業が踏むべき8つの主要なステップを解説します。

① 現状把握と対応方針の決定

すべての始まりは、自社の現状を正確に把握することです。特に重要なのが「データマッピング(データの棚卸し)」です。

  • どのような個人データを収集しているか?: 氏名、メールアドレスといった基本的な情報から、IPアドレス、Cookie情報、位置情報まで、GDPR上の個人データに該当するものをすべてリストアップします。
  • どこから収集しているか?: Webサイトのフォーム、イベントでの名刺交換、提携先からの提供など、データの取得元を明確にします。
  • 何のために利用しているか?: 顧客管理、商品発送、メールマガジン配信、広告配信、サービス改善など、データ処理の目的を具体的に特定します。
  • どこに保管しているか?: 自社サーバー、クラウドサービス(AWS, Azure, GCPなど)、外部のSaaSなど、データの保管場所を物理的・論理的に把握します。
  • 誰と共有(移転)しているか?: 業務委託先、グループ会社、広告配信事業者など、データを共有している第三者をすべて洗い出します。

このデータマッピングの結果をもとに、GDPRの適用を受けるデータ処理活動がどれかを特定し、リスク評価を行います。そして、経営層のコミットメントを得て、社内横断的な対応チームを発足させ、具体的な対応方針と計画を策定します。

② プライバシーポリシーの作成・見直し

GDPRは、データ処理に関する「透明性」を強く求めています。その中心となるのが、プライバシーポリシー(またはプライバシーノーティス)です。GDPRに対応したプライバシーポリシーには、日本の個人情報保護法で求められる以上の詳細な情報を記載する必要があります

最低限、以下の項目を網羅し、ユーザーが理解しやすい平易な言葉で記述することが求められます。

  • データ管理者(自社)の名称と連絡先
  • DPO(データ保護オフィサー)の連絡先(選任している場合)
  • 個人データを処理する目的と、その法的根拠(同意、契約の履行、正当な利益など)
  • 収集する個人データの種類
  • 個人データの提供先(第三者や処理者)のカテゴリー
  • 個人データのEU域外への移転の有無と、その場合の保護措置(十分性認定、SCCなど)
  • 個人データの保管期間、またはその決定基準
  • データ主体の権利(アクセス権、消去権など)とその行使方法
  • 同意に基づき処理を行う場合、いつでも同意を撤回できる権利
  • 監督機関に不服を申し立てる権利
  • プロファイリングなどの自動化された意思決定の有無と、そのロジックに関する情報

既存のプライバシーポリシーをこれらの要件に照らして見直し、必要な改訂を行います。

③ DPO(データ保護オフィサー)の選任

DPO(Data Protection Officer)は、組織内におけるデータ保護遵守を監督・助言する専門職です。GDPRでは、以下のいずれかのケースに該当する場合、DPOの選任が義務付けられています。

  1. 公的機関・団体によるデータ処理
  2. データ主体の体系的かつ大規模な定期的モニタリングを中核的業務として行う場合(例:行動ターゲティング広告事業者、信用情報機関)
  3. 特別カテゴリの個人データや有罪判決に関するデータを大規模に処理する場合(例:病院)

日本企業の場合、特に2つ目の「大規模なモニタリング」に該当するかどうかの判断が重要になります。選任が義務でない場合でも、データ保護体制の信頼性を示すために、自主的にDPOまたはそれに準ずる担当者を置くことが推奨されます。DPOは、データ保護に関する専門知識を持ち、企業のビジネスから独立して業務を遂行できる人物である必要があります。

④ 個人データ管理台帳の作成(記録義務の遵守)

GDPR第30条は、データ管理者および処理者に対して、自らが行う個人データの処理活動に関する記録を作成し、維持することを義務付けています。これは、監督機関からの要請があった際に、自社のデータ処理がGDPRに準拠していることを示すための重要な証拠となります。

この記録(データ管理台帳)には、以下のような情報を記載する必要があります。

  • 管理者(および処理者)が記録すべき主な項目:
    • 管理者・DPOの名称と連絡先
    • 処理の目的
    • データ主体のカテゴリーと個人データのカテゴリー
    • データ提供先のカテゴリー
    • 域外移転に関する情報
    • データ消去の予定期間
    • 技術的・組織的安全管理措置の概要

この台帳を常に最新の状態に保つための運用プロセスを構築することが重要です。

⑤ データ保護影響評価(DPIA)の実施

DPIA(Data Protection Impact Assessment)は、新たなデータ処理、特に個人の権利や自由に高いリスクを及ぼす可能性のある処理を開始する前に、そのリスクを評価し、軽減策を検討するためのプロセスです。

DPIAの実施が義務付けられるのは、例えば以下のような場合です。

  • プロファイリングなどの体系的かつ大規模な評価
  • 特別カテゴリの個人データの大規模な処理
  • 公共の場所の大規模な体系的モニタリング

新しいテクノロジーを利用したサービスを開始する場合や、大量の個人データを扱うマーケティング施策を行う前には、DPIAの実施が必要かどうかを検討するべきです。DPIAは、プライバシー・バイ・デザイン(設計段階からのプライバシー配慮)を実践するための重要なツールです。

⑥ Cookieなど同意取得の仕組みを整備する

前述の通り、GDPRでは個人データの処理、特にCookieの利用などには、自由意志に基づき、特定され、明確に示された、積極的な行為による「有効な同意」が求められます。

これを実現するためには、CMP(Consent Management Platform)などのツールを導入し、Webサイトに以下のような機能を持つCookieバナーを設置する必要があります。

  • オプトイン方式: デフォルトではCookieをオフにし、ユーザーが同意ボタンを押して初めてオンになる。
  • 同意の粒度: 目的別(分析用、広告用など)に同意を選択できる。
  • 情報の透明性: 利用するCookieの名称、目的、有効期限などを明記する。
  • 同意の撤回: 一度同意した後でも、簡単に設定を変更・撤回できるページへのリンクを提供する。

⑦ データ侵害発生時の報告体制を構築する

万が一、個人データの漏洩や紛失といったデータ侵害(Personal Data Breach)が発生した場合、GDPRは迅速な対応を義務付けています。

  • 監督機関への報告: 原則として、侵害を認識してから72時間以内に、管轄の監督機関に報告しなければなりません。
  • データ主体への通知: その侵害が個人の権利や自由に高いリスクを及ぼす可能性がある場合、遅滞なくデータ主体本人にも通知する必要があります。

この短時間での対応を実現するためには、インシデントを検知し、影響を調査し、報告内容をまとめて関係各所に連絡するための、事前のインシデント・レスポンス計画と報告体制の構築が不可欠です。

⑧ 個人データの域外移転に対応する

GDPRは、EU/EEA域内で保護されている個人データを、保護レベルが不十分な域外の国・地域に移転することを原則として禁止しています。日本企業がEUから個人データを受け取ったり、日本のサーバーで処理したりするためには、この「域外移転」を適法化するためのいずれかの措置を講じる必要があります。

十分性認定

EUの欧州委員会が、特定の国・地域がGDPRと同等の十分なデータ保護レベルを有していると認める決定です。日本は2019年に十分性認定を受けています。これにより、日本企業はEU/EEA域内から日本へ、追加の保護措置なしで個人データを移転させることが可能です。ただし、詳細は後述しますが、これだけで日本企業がGDPR対応から免除されるわけではありません。

標準契約条項(SCC)

SCC(Standard Contractual Clauses)は、欧州委員会が事前に採択した、データ移転に関する契約条項のひな形です。データ送付元(EU域内)とデータ送付先(EU域外)の企業間でこの契約を締結することにより、十分性認定がない国へも適法にデータを移転できます。十分性認定がある日本への移転でも、補完的な措置として利用されることがあります。

拘束的企業準則(BCR)

BCR(Binding Corporate Rules)は、多国籍企業グループ内で個人データを国際的に移転するための共通ルールです。グループ企業全体でこのルールを作成し、管轄の監督機関の承認を得ることで、グループ内での自由なデータ移転が可能になります。策定と承認に時間とコストがかかるため、主に大企業で利用される手法です。

これらのステップは相互に関連しており、体系的に取り組む必要があります。GDPR対応は、法務部門だけの問題ではなく、IT、マーケティング、人事など、全社を巻き込んだプロジェクトとして推進することが成功の鍵となります。

GDPRと日本の個人情報保護法の関係

GDPRと日本の個人情報保護法の関係

GDPRと日本の個人情報保護法(APPI)は、ともに個人のデータを保護するための法律ですが、その関係性は少し複雑です。特に、日本がEUから受けている「十分性認定」は重要なキーワードですが、その意味を正しく理解しないと、「日本企業はGDPR対応が不要だ」という誤解につながる可能性があります。

十分性認定とは

十分性認定(Adequacy Decision)とは、欧州委員会が、EU域外の特定の国や地域について、「GDPRが保障するのと実質的に同等レベルのデータ保護水準を確保している」と公式に認定する制度です。

日本は2019年1月23日に、この十分性認定をEUから取得しました。(参照:個人情報保護委員会「日EU間の円滑な個人データ移転を可能とするための相互の十分性認定の確認について」)

この認定がもたらす最大のメリットは、EU/EEA域内から日本への個人データの移転が、原則として自由に行えるようになることです。通常、EU域外へのデータ移転には、前述のSCC(標準契約条項)の締結やBCR(拘束的企業準則)の策定といった、追加の煩雑な手続きが必要です。しかし、十分性認定がある日本への移転に関しては、これらの手続きが不要となり、EU域内のデータ移転と同様に扱われます。

例えば、フランスの企業が、日本のデータセンターを利用して顧客データを保管する場合、十分性認定があるおかげで、特別な契約を結ぶことなくスムーズにデータを移転できます。これは、日欧間のデジタル貿易やビジネス連携を促進する上で非常に大きな利点です。

【重要】十分性認定に関する注意点

ここで絶対に誤解してはならないのは、「十分性認定があるから、日本企業はGDPRを遵守しなくてよい」というわけではない、ということです。

十分性認定は、あくまで「EUから日本へのデータ移転」に関するルールです。
GDPR本体の適用範囲、すなわち「域外適用」のルールは、十分性認定とは全く別の話です。

したがって、

  • EU域内に子会社や支店がある日本企業
  • 日本からEU域内の個人に商品やサービスを提供している日本企業
  • EU企業から個人データの処理を委託されている日本企業

これらに該当する企業は、たとえデータが日本国内で処理されていても、その処理活動に対してGDPRが直接適用されます。つまり、データ主体の権利への対応、DPOの選任(該当する場合)、データ侵害時の72時間以内報告など、GDPRが定めるすべての義務を遵守しなければなりません。

十分性認定は、データ移転のハードルを下げるものであり、GDPRの遵守義務を免除するものではない、という点を明確に区別して理解することが極めて重要です。

また、十分性認定を維持するために、日本とEUの間で「補完的ルール」が合意されています。これは、日本の個人情報保護法を補完し、EUのデータ保護水準との同等性を確保するための追加的なルールです。EUから移転された個人データを日本で取り扱う企業は、通常の個人情報保護法に加えて、この補完的ルールも遵守する必要があります。補完的ルールには、要配慮個人情報の範囲の拡大や、利用目的の再特定に関する制限などが含まれています。(参照:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)」)

結論として、GDPRと日本の個人情報保護法は、十分性認定を通じて連携していますが、それぞれが独立した法規制です。日本企業は、自社のビジネス実態に応じて、両方の法律への対応を検討する必要があります。

GDPR対応を支援するコンサルティング会社・ツール3選

GDPRへの対応は専門性が高く、法務知識とIT知識の両方が求められるため、自社リソースだけですべてをカバーするのは困難な場合があります。幸い、日本国内でもGDPR対応を支援する専門のコンサルティング会社や、コンプライアンス業務を効率化するツールが存在します。ここでは、代表的な3つのサービスを紹介します。

(※掲載する情報は、各社の公式サイトで公開されている2024年6月時点の情報に基づいています。最新の情報や料金については、各社の公式サイトで直接ご確認ください。)

① Priv Tech株式会社

Priv Tech株式会社は、企業のプライバシーテック対応を支援する専門企業です。特に、GDPRや改正個人情報保護法で求められるCookieの同意管理に強みを持っています。

  • 主なサービス:
    • 同意管理プラットフォーム(CMP)「Trust 360」: Webサイト訪問者のCookie利用に関する同意を、GDPRの要件に準拠した形で取得・管理できるツールです。カスタマイズ可能なバナーデザインや、詳細な同意設定機能を提供し、企業のブランドイメージを損なわずにコンプライアンスを実現します。
    • プライバシーコンサルティング: GDPRや日本の個人情報保護法など、国内外のプライバシー関連法規に関する専門的なコンサルティングサービスを提供。現状分析からプライバシーポリシーの改訂、社内体制の構築まで、包括的な支援を行います。
    • DPOアウトソーシング: 専門知識を持つDPO(データ保護オフィサー)を外部から提供するサービスです。
  • 特徴:
    プライバシー領域に特化した深い専門性が特徴です。特にCookie規制対応の実績が豊富で、最新の法規制や実務の動向を踏まえた実践的なソリューションを提供しています。

(参照:Priv Tech株式会社 公式サイト)

② OneTrust

OneTrustは、米国に本社を置き、プライバシー、セキュリティ、ガバナンスの分野で世界的に広く利用されているプラットフォームです。GDPRだけでなく、CCPA/CPRA(カリフォルニア州)など、世界各国のデータ保護法制に包括的に対応できるのが特徴です。

  • 主なサービス(モジュール):
    • プライバシー&データガバナンス: データマッピングの自動化、DPIA/PIA(プライバシー影響評価)の実施、データ主体からの権利行使要求(DSAR)の管理など、GDPR対応の中核業務を効率化します。
    • 同意・プリファレンス管理: Webサイト、モバイルアプリ、OTTなど、さまざまなチャネルでユーザーの同意とプリファレンス(好みの設定)を一元管理します。
    • サードパーティリスク管理: 業務委託先などのサプライヤーが抱えるプライバシーリスクを評価・管理します。
  • 特徴:
    機能の網羅性と拡張性の高さが最大の強みです。企業の成長や規制環境の変化に合わせて必要な機能を追加できるモジュール形式で提供されており、グローバルに事業を展開する大企業で特に多く採用されています。日本語にも完全対応しており、国内でのサポート体制も整っています。

(参照:OneTrust LLC 公式サイト)

③ セキュアベース株式会社

セキュアベース株式会社は、セキュリティ・プライバシーマネジメント領域の課題解決を目指す日本のスタートアップ企業です。特に、情報セキュリティ認証の取得・運用やプライバシーコンプライアンス対応を効率化するクラウドサービスを提供しています。

  • 主なサービス:
    • セキュリティ・プライバシー管理クラウド「SecureNavi」: ISMS(ISO 27001)やPマークなどの認証取得・運用を効率化する機能に加え、GDPRや改正個人情報保護法で求められる個人データ管理台帳の作成やDPIAの実施などをサポートする機能を提供しています。
    • コンサルティングサービス: 専門のコンサルタントが、各種認証の取得やプライバシー法対応に関する実践的なアドバイスや支援を行います。
  • 特徴:
    スタートアップや中小企業でも導入しやすい価格設定と、使いやすさを重視したUI/UXが特徴です。煩雑になりがちなコンプライアンス業務をテンプレートや自動化機能でシンプルにし、担当者の負担を軽減することに注力しています。まずは基本的な体制構築から始めたい、という企業に適しています。

(参照:セキュアベース株式会社 公式サイト)

これらの企業やツールを活用することで、専門家の知見を借りながら、効率的かつ確実にGDPR対応を進めることが可能になります。自社の規模、業態、対応フェーズに合わせて、最適なパートナーやツールを選択することが重要です。

GDPRに関するよくある質問

高額な制裁金、事業活動の制限、データ主体からの損害賠償請求、レピュテーション(企業評判)の失墜、取引機会の損失

GDPRは複雑な法律であるため、多くの企業担当者がさまざまな疑問を抱えています。ここでは、特によく寄せられる質問とその回答をまとめました。

GDPRはいつから施行された法律ですか?

GDPRがEUの官報で公布されたのは2016年4月27日ですが、2年間の移行期間を経て、2018年5月25日から全面的に施行(適用開始)されました。

この日から、GDPRのすべての条文がEU加盟国において直接的な法的拘束力を持つようになり、違反企業に対する調査や制裁金の賦課が可能になりました。すでに施行から数年が経過しており、世界中のデータ保護監督機関によって活発に執行されています。そのため、「まだ準備期間だ」という認識は誤りであり、適用対象となる企業は速やかに対応を完了させる必要があります。

GDPRに対応しないとどうなりますか?

GDPRに対応しない、あるいは対応が不十分な場合、企業は多岐にわたる深刻なリスクに直面します。

  1. 高額な制裁金:
    最も直接的なリスクは、前述の通り、最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方という巨額の制裁金です。これは企業の財務に大きな打撃を与える可能性があります。
  2. 事業活動の制限:
    各国の監督機関は、制裁金に加えて、データ処理の一時的または永久的な禁止といった是正措置を命じる権限を持っています。例えば、EU域内の顧客へのサービス提供が禁止されたり、EUからのデータ移転が差し止められたりする可能性があります。これは、実質的な事業停止命令に等しく、企業にとって致命的なリスクです。
  3. データ主体からの損害賠償請求:
    GDPRに違反した結果、個人(データ主体)が物質的または非物質的な損害を被った場合、その個人は事業者に対して損害賠償を請求する権利を有します。集団訴訟に発展した場合は、賠償額が膨大になる可能性があります。
  4. レピュテーション(企業評判)の失墜:
    GDPR違反の事実が公表されると、「顧客のプライバシーを軽視する企業」というネガティブな評判が広がり、顧客や取引先からの信頼を失うことになります。ブランドイメージの毀損は、長期的に見て売上の減少や株価の下落など、計り知れない損害につながります。
  5. 取引機会の損失:
    近年、企業間の取引において、サプライヤーのGDPR遵守状況を評価する「ベンダーチェック」が厳格化しています。GDPRに未対応の企業は、EU企業との取引や、グローバル基準を重視する企業との取引から排除されるリスクが高まります。

これらのリスクを総合的に考えると、GDPRへの対応は、もはや「やるか、やらないか」の選択肢ではなく、グローバル市場で事業を継続するための必須要件であると言えます。

GDPRと合わせて知っておきたい各国の個人情報保護法

個人の権利の強化、事業者の責務の拡大、データの越境移転に関する規制強化、「個人関連情報」の導入

GDPRの登場は、世界的な「データ保護強化」の潮流を生み出しました。GDPRに影響を受け、各国・地域で同様の包括的な個人情報保護法を制定・改正する動きが加速しています。グローバルにビジネスを展開する企業は、GDPRだけでなく、これらの主要な法規制の動向も注視しておく必要があります。

CCPA/CPRA(米国カリフォルニア州)

米国には、GDPRのような連邦レベルでの包括的な個人情報保護法は存在しませんが、いくつかの州では独自の法律が制定されています。その中で最も影響力が大きいのが、カリフォルニア州の法律です。

  • CCPA (California Consumer Privacy Act / カリフォルニア州消費者プライバシー法): 2020年1月1日に施行された、米国で初めての包括的な州レベルのプライバシー法です。消費者に自らの個人情報がどのように収集・利用されているかを知る権利や、情報の削除を要求する権利、情報の販売を拒否する(オプトアウト)権利などを与えました。
  • CPRA (California Privacy Rights Act / カリフォルニア州プライバシー権法): CCPAを改正・強化する形で、2023年1月1日に全面的に施行されました。CPRAにより、「センシティブ個人情報」の利用を制限する権利や、不正確な情報を訂正する権利が追加され、GDPRのモデルにさらに近づきました。また、プライバシー保護を専門に執行する機関として「カリフォルニア州プライバシー保護庁(CPPA)」が設立されました。

GDPRが同意を基本とする「オプトイン」モデルであるのに対し、CCPA/CPRAは情報の販売を拒否する「オプトアウト」モデルである点に違いがありますが、企業の透明性確保や個人の権利保障といった基本的な考え方は共通しています。カリフォルニア州は世界第5位の経済規模を持つため、多くの日本企業が適用対象となる可能性があります。

APPI(日本の改正個人情報保護法)

日本の個人情報保護法(APPI: Act on the Protection of Personal Information)も、グローバルな潮流に合わせて、近年、数度の大きな改正が行われています。特に2020年改正(2022年4月施行)と2021年改正(2023年4月施行)は、GDPRを意識した内容が多く含まれています。

主な改正点は以下の通りです。

  • 個人の権利の強化: 本人が利用停止・消去を請求できる要件が緩和されました。また、事業者が保有する個人データの開示請求が、デジタルデータでの提供を原則とするなど、より実効性の高いものになりました。
  • 事業者の責務の拡大: データ漏洩等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。これはGDPRのデータ侵害報告義務に類似した制度です。
  • データの越境移転に関する規制強化: 外国にある第三者に個人データを提供する際、提供先の国の制度や安全管理措置について、本人への情報提供を強化することが求められました。
  • 「個人関連情報」の導入: Cookieなどの識別子情報で、提供元では個人データに該当しなくても、提供先で個人データとして取得されることが想定される場合、本人の同意取得等の確認が義務付けられました。

これらの改正により、日本のAPPIはGDPRとの制度的な共通点を増やし、より厳格なデータ保護を求める方向へと進化しています。GDPR対応とAPPI対応は、多くの部分で連携させて進めることが可能です。

GDPRを皮切りに、ブラジル(LGPD)、中国(個人情報保護法)、カナダ(PIPEDA)など、世界中でデータ保護法制の整備が進んでいます。これからのグローバルビジネスにおいては、各国のプライバシー法制を遵守する「グローバル・コンプライアンス体制」の構築が、企業の持続的な成長に不可欠な要素となるでしょう。