GDPR(EU一般データ保護規則)とは
GDPR(General Data Protection Regulation)は、ヨーロッパ連合(EU)が2018年5月25日に施行した個人情報保護に関する新しい法律です。この法律は、EU域内に住む人々の個人データを保護することを目的としています。企業がEU域内の人々の個人情報を扱う際、その収集、処理、保管、利用、移転など、あらゆる段階において厳格なルールを定めています。
GDPRの大きな特徴は、その適用範囲の広さです。EU域内に拠点を持たない企業であっても、EU域内の人々に商品やサービスを提供したり、その行動を監視したりする場合には、GDPRの対象となります。例えば、日本の企業がEUの顧客から氏名、住所、メールアドレスなどの個人情報を取得してビジネスを行う場合、GDPRのルールに従う必要があります。
個人データとは、氏名、住所、メールアドレス、電話番号といった直接的な情報だけでなく、IPアドレス [blocked]やCookie(クッキー)などのオンライン識別子、健康情報、遺伝情報、人種、政治的見解なども含まれます。これらの情報を扱う企業は、データ保護責任者(DPO)の設置や、データ侵害時の迅速な報告義務など、多くの義務を負います。
なぜ今、話題なの?
GDPRが施行された2018年以降、世界中で個人情報保護の重要性が認識され、同様の法律が各国で制定される動きが加速しました。例えば、アメリカのカリフォルニア州消費者プライバシー法(CCPA)などがその一例です。
GDPRが特に注目される理由は、その罰則の厳しさにあります。GDPRに違反した場合、企業は最大で2,000万ユーロ(約32億円、1ユーロ160円換算)または全世界年間売上高の4%のいずれか高い方を上限とする高額な制裁金が科される可能性があります。実際に、GoogleやMeta(旧Facebook)などの大手企業がGDPR違反で多額の罰金を科された事例が報告されています。
このような厳しい罰則があるため、EUとビジネスを行う世界中の企業がGDPRへの対応を迫られています。日本企業も例外ではなく、EUの顧客を持つ企業や、EUに拠点を置く企業は、GDPRの要件を満たすための体制構築が必須となっています。
どこで使われている?
GDPRは、EU加盟国および欧州経済領域(EEA)の国々で適用されています。これには、ドイツ、フランス、イタリア、スペインなどの主要国が含まれます。これらの国々でビジネスを行う企業、またはこれらの国々の住民の個人データを扱う企業は、GDPRの対象となります。
具体的には、以下のような場面でGDPRが適用されます。
- EUの顧客を持つECサイト運営企業: 日本のオンラインストアがEUの顧客に商品を販売し、その個人情報を取得する場合。
- EUに支社や子会社を持つ企業: 日本企業がEU域内に事業所を構え、現地の従業員や顧客の個人情報を管理する場合。
- EUからのアクセスがあるWebサービス: EU域内のユーザーが利用するWebサイトやアプリが、Cookieなどを通じて個人データを収集する場合。
- EUの個人データを処理するクラウドサービスプロバイダー: EUの企業から個人データの処理を委託された日本のクラウドサービス提供者。
このように、GDPRは国境を越えて適用されるため、グローバルに事業を展開する企業にとって非常に重要な法律となっています。
覚えておくポイント
GDPRを理解する上で、特に以下の3つのポイントを押さえておくと良いでしょう。
- 対象はEU域内の個人: GDPRが保護するのは、EU域内に住む個人のデータです。企業がEU域外にあっても、EUの個人データを扱う場合は適用されます。
- 個人の権利の強化: GDPRは、個人が自身のデータに対して「アクセス権」「訂正権」「消去権(忘れられる権利)」「データポータビリティ権」など、多くの権利を持つことを明確にしています。企業はこれらの権利に対応する義務があります。
- 企業の責任の明確化と罰則: 企業は個人データを適切に保護する責任を負い、そのための具体的な措置を講じる必要があります。違反した場合の罰則は非常に厳しく、企業の経営に大きな影響を与える可能性があります。
GDPRは、デジタル化が進む現代において、個人のプライバシー保護とデータ活用のバランスをどのように取るべきかを示した、重要な法律の一つと言えます。