GDPRとは？EU一般データ保護規則をわかりやすく解説

EUに居住する人々の個人データを収集・利用・追跡している場合、企業にはEU一般データ保護規則（GDPR）が適用されます。企業の所在地は問いません。この欧州のプライバシー法は世界規模で影響力を持ち、企業による個人情報の取り扱い方に大きな変化をもたらしました。

GDPRは2016年に採択され、2018年5月から施行されました。この規則では、何が個人データに該当するのか、どのように利用できるのか、そして個人が自身の情報に対してどのような権利を持つのかについて、明確なルールが定められています。

本ガイドでは、GDPRとは何か、どのような企業に適用されるのか、そして企業が対応を進めるために知っておくべきポイントをわかりやすく解説します。

GDPRとは？わかりやすく解説

GDPR（EU一般データ保護規則）は、EUに居住する人々の個人データを保護するためのEUのプライバシー法です。名前、メールアドレス、IPアドレス、Cookieなど、個人を直接または間接的に特定できるあらゆる情報が対象になります。

GDPRは、個人が自分のデータをより強くコントロールできるようにするための規則です。同時に企業には、個人データを公正に取り扱い、収集目的を明確に説明し、安全に管理することが求められます。2018年5月25日の施行により、従来のEUのデータ保護ルールに代わって導入されました。

GDPRが導入された理由

GDPRが導入される以前、EUのデータ保護は1995年の「データ保護指令」に基づいていました。当時はインターネットがまだ普及し始めた段階で、企業が扱う個人データの量も現在ほど多くありませんでした。しかし、技術の進化とオンラインサービスの普及により、従来のルールでは十分に対応できなくなったのです。

2012年、欧州委員会はプライバシー権を強化し、デジタル経済の時代に対応するための新しい法制度を提案しました。その後数年にわたる議論を経て、GDPRは2016年に採択され、2018年に正式施行されました。

従来の指令とは異なり、GDPRはEU加盟国すべてに直接適用されます。これにより、EU全体で統一された基準が確立され、個人は自分の個人情報に対してより強い権利を持つことになりました。

デジタルでつながる現代社会では、プライバシーの重要性はかつてないほど高まっています。GDPRのような法律は、ユーザー自身が自分のデータをコントロールできるようにするために制定されています。

GDPRの適用対象

GDPRは、欧州経済領域（EEA）の内外を問わず、EUに居住する人々の個人データを収集・利用・保存するすべての組織に適用されます。つまり、この法律は企業の所在地ではなく「データが誰のものか」に基づいて適用されます。

この規則は、主に次の2つの役割が定義されています。

• データ管理：個人データを処理する目的や方法を決定する主体。
• データ処理者：クラウドサービス事業者や決済処理会社など、データ管理者の指示に基づいて個人データを処理する主体。

EEA（欧州経済領域）の企業

EEA（欧州経済領域）は、EU加盟27か国に加え、アイスランド、リヒテンシュタイン、ノルウェーを含む地域を指します。EEA内に拠点を持つ企業は、たとえデータ処理がヨーロッパ外で行われる場合でも、個人データを扱う際にはGDPRを遵守しなければなりません。たとえば、Spainに拠点を置く企業がJapanにあるサーバーを利用している場合でも、GDPRの規則に従う必要があります。

EEA（欧州経済領域）外の企業

EEAの外に拠点を置く企業であっても、GDPRの適用対象外になるわけではありません。次のような形でEU居住者の個人データに関わる場合、この法律は依然として適用されます。

• EUに居住する人々に対して、無料または有料で商品やサービスを提供している場合
• Cookieによるオンライン行動の追跡やプロファイリングなど、EU居住者の行動をモニタリングしている場合

たとえば、Japanに拠点を置きながら、Spain or Portugalの大学生を対象にサービスを提供する教育プラットフォームは、GDPRを遵守する必要があります。また、EEA外の企業であっても、EEA内の企業のデータ処理者として業務を行う場合は、GDPRへの対応が求められます。

EUユーザーを特に対象としておらず、EU居住者の個人データも扱っていない場合、単にEUからアクセスできるという理由だけではGDPRの適用対象にならない可能性があります。ただし、企業がEU居住者を明確に対象外としていない場合、規制当局がGDPRの適用対象と判断する可能性もあります。

また、GDPRの適用対象外となるデータもいくつかあります。たとえば、国家安全保障や法執行の目的で収集されたデータ、または純粋に個人的・家庭的な目的で扱われるデータなどです。

GDPRにおける「個人データ」とは何か？

GDPRでは、個人データとは、直接または間接的に特定できる「生存している個人」に関連するあらゆる情報を指します。主な例は次のとおりです。

• 氏名（フルネーム）
• 自宅住所
• 個人名を含むメールアドレス
• 国民ID番号やパスポート番号
• IPアドレス
• Cookie ID
• デバイスの広告識別子（広告ID）
• 医療記録

GDPRでは、特定の個人と再び結び付けることが可能な仮名化データと、個人を特定できない完全な匿名化データを区別しています。このうち、GDPRの適用対象外となるのは後者のみです。

さらにGDPRでは、人種や民族的出自、宗教的信条、政治的意見、生体認証データなどを特別カテゴリの個人データとして定義しています。これらはリスクが高いため、極めて限定された条件を除き、原則として処理が禁止されています。

個人データを処理するための法的根拠とは？

GDPRでは、企業や組織が単に都合だけで個人データを処理することは認められていません。データ処理には明確な法的根拠が必要であり、規則では次の6つの根拠が定められています。

• 同意：本人が自分のデータの利用に対して明確な許可を与えた場合。同意は自由意思に基づき、具体的であり、いつでも簡単に撤回できる必要があります。沈黙や、あらかじめチェックされた同意ボックスなどは有効な同意とは認められません。
• 契約：個人との契約を履行するためにデータ処理が必要な場合。たとえば、購入手続きを完了するために支払い情報を処理するケースなどです。
• 法的義務：法律によって個人データの処理が求められる場合。たとえば、病院が医療記録を保管する義務を負うケースなどです。
• 重大な利益：医療緊急時など、人の生命を守るために個人データの処理が必要な場合。
• 公的任務：公共の利益のための業務や公的な任務を遂行するためにデータ処理が必要な場合。主に政府機関などに関係します。
• 正当な利益：個人の権利や利益を侵害しない範囲で、組織に正当な理由がある場合にデータ処理が認められます。たとえば、サイバーセキュリティの維持や不正防止のためにデータを利用するケースなどです。

GDPRの7つの基本原則

GDPRは、個人データの取り扱い方を定める7つの基本原則を中心に構成されています。これらの原則は、データ処理における公平性・安全性・説明責任の基準を示すものです。

1. 適法性・公正性・透明性

この原則は、個人データをGDPRで認められた正当な理由がある場合にのみ収集・利用することを求めています。例えば、本人の同意がある場合や、サービス提供のために必要な場合などです。また、人々を誤解させたり、予想外の形で情報を利用したりせず、公正にデータを扱う必要があります。さらに重要なのが透明性です。企業や組織は、どのデータを収集しているのか、その理由、そしてどのように利用するのかを、わかりやすい言葉で説明しなければなりません。

2. 目的限定

GDPRでは、個人データは明確で特定された目的のためにのみ収集することが認められています。企業や組織は、データを収集する時点で、その目的を本人に明確に説明する必要があります。また、一度収集したデータを、当初の目的と関係のない用途に利用することは認められていません。

3. データ最小化

GDPRでは、目的の達成に必要な最小限の個人データのみを収集することが求められています。この原則により、個人に関するデータの保有量を抑え、万が一データが流出したり不正利用された場合のリスクを軽減できます。データ収集を必要かつ適切な範囲に限定する考え方です。

4. 正確性

個人データは正確であることが求められます。企業や組織が個人に関する情報を保存する場合、その内容が正確であり、必要に応じて更新されている状態を維持しなければなりません。情報に誤りがあったり変更が生じた場合は、組織が修正する責任を負います。特に、そのデータが個人に関する判断や決定に利用される場合、正確性は非常に重要です。

5. 保存期間の制限

企業や組織は、必要以上に長く個人データを保存してはいけません。目的を達成したデータは、削除するか匿名化する必要があります。この原則は、「念のため」という理由だけでデータを保管し続けることを防ぐものです。また、不要なデータ保存によって発生するデータ漏えいやプライバシー問題のリスクを減らす効果もあります。

6. 完全性と機密性

個人データの安全性を確保することは非常に重要です。企業や組織は、権限のない第三者による閲覧、盗難、改ざんなどからデータを保護しなければなりません。そのためには、技術面と運用面の両方で適切なセキュリティ対策を実施する必要があります。

7. 説明責任

説明責任とは、企業や組織がGDPRのルールを守るだけでなく、それを証明できる状態にしておくことを意味します。具体的には、データ処理の記録を管理すること、従業員への教育を行うこと、プライバシーポリシーを整備することなど、個人データ保護のための適切な取り組みを実施していることを示す必要があります。

GDPRにおけるユーザーのデータ権利

通知を受ける権利

ユーザーには、企業や組織がいつ、どのような目的で自分の個人データを収集しているのかを知る権利があります。企業は、どのデータを収集するのか、どのように利用するのか、誰と共有する可能性があるのかについて、最初の段階から明確に説明しなければなりません。

また、その説明は誰にでも理解しやすい形で提示される必要があります。これにより、ユーザーは自分のデータを提供するかどうかを適切に判断できるようになります。

アクセス権

ユーザーは、企業や組織が自分に関するどの個人データを保有しているのかを確認する権利があります。また、そのデータのコピーを請求したり、どのように利用されているのか、誰と共有されているのかといった詳細情報を求めることもできます。企業や組織は、合理的な期間内にこれらの情報を提供する義務があります。

ただし、この権利は無制限ではありません。営業秘密や知的財産など、他者の権利や自由を侵害する場合には制限される可能性があります。

訂正権

企業や組織が保有する個人データに誤りや不完全な情報がある場合、ユーザーはその訂正を求めることができます。名前のスペルミス、古い住所、欠けている情報などがある場合、組織はそれらを修正する義務があります。

消去権（忘れられる権利）

企業や組織があなたの個人データを保持する正当な理由がなくなった場合、その削除を求めることができます。これは一般的に「忘れられる権利」と呼ばれています。例えば、収集目的がすでに達成されている場合や、企業が個人データを不正に処理していた場合などに適用されます。

ただし、この権利も無制限ではありません。企業にデータ保存の法的義務がある場合や、その他の正当な理由がある場合には、データの保持が認められることがあります。

処理制限の権利

この権利により、企業や組織に対して個人データの利用を制限するよう求めることができます。例えば、データが不正確だと考える場合、違法に処理された可能性がある場合、あるいは企業がデータを必要としていないものの、法的請求のために保持してほしい場合などに利用されます。処理制限が適用されている間、企業はデータを保存することはできますが、本人の許可や法的理由がない限り、他の目的で使用することはできません。

データポータビリティの権利

この権利により、ユーザーは自分の個人データのコピーを利用可能な形式で受け取ることができます。また、技術的に可能であれば、そのデータを別の企業やサービスに直接送信するよう依頼することもできます。これは、ユーザーが自分の情報をより自由に管理できるようにし、サービスの乗り換えやデータ移行をスムーズにするための仕組みです。

異議申し立ての権利

ユーザーは、自分の個人データの利用方法に対して異議を申し立てる権利があります。特に、ダイレクトマーケティング目的で利用されている場合に有効です。異議申し立てが行われた場合、企業は正当で強い理由を示さない限り、データの利用を停止しなければなりません。

自動化された意思決定に関する権利

ユーザーには、完全に自動化された処理によって下された判断に異議を申し立てる権利もあります。例えば、ローン審査や採用判断のように大きな影響を及ぼす決定が対象となります。GDPRでは、このようなケースにおいて人間による関与を求める権利が認められており、アルゴリズムや自動化システムだけに任せるのではなく、人による再評価を要求することができます。

GDPRにおける「同意」とは？どのように取得されるのか

GDPRにおける同意は、有効と認められるために厳格な基準を満たす必要があります。同意として成立するには、次の条件を満たしていなければなりません。

• 自由意思による同意：拒否した場合に不利益や圧力が生じない状態で、本人が自由に選択できる必要があります。
• 具体的かつ十分な情報に基づく同意：企業や組織は、自分たちが誰であるか、どのデータを収集するのか、その理由、そしてどのように利用するのかを明確に説明する必要があります。
• 明確な意思表示：同意は、チェックボックスにチェックを入れる、フォームに署名するなど、本人の明確な意思表示によって示される必要があります。沈黙や、あらかじめチェックされた同意ボックスは有効とは認められません。

ユーザーには、いつでも同意を撤回する権利があります。また、その手続きは同意を与えるときと同じくらい簡単でなければなりません。同意が撤回された場合、企業はその目的で個人データを利用することを停止する必要があります。

16歳未満のユーザーを対象とするサービスでは、通常保護者の同意が必要です。ただし、EUの一部の国では、この年齢基準が13歳まで引き下げられている場合があります。

企業がGDPR要件に対応するためのポイント

GDPRに準拠し、個人のプライバシーを保護するために、企業や組織が実施すべき具体的な対策があります。

処理活動の記録（RoPA）

GDPR第30条では、企業に対して個人データの取り扱い方法を記録・文書化することが求められています。記録には、データ処理の目的、収集するデータの種類、共有先、保存期間、そして実施しているセキュリティ対策などを含める必要があります。

処理頻度が低くリスクも小さい場合、小規模企業には例外が認められることもあります。しかし、これらの記録を保持しておくことは、当局から求められた際にGDPR対応を証明するうえで重要です。

データ保護影響評価（DPIA）

企業が、個人の権利や自由に高いリスクを及ぼす可能性のある形で個人データを処理する場合、DPIAを実施する必要があります。これは、新しい技術の導入、大規模な公共空間の監視、または特別カテゴリの個人データを大量に処理する場合などに義務付けられています。

DPIAの目的は、データ処理を開始する前に潜在的なリスクを特定し、可能な限り軽減することです。対策を講じても高いリスクが残る場合、企業は処理を進める前に、GDPRの遵守を監督する各EU加盟国の規制機関であるデータ保護当局（DPA）に相談する必要があります。

データ保護責任者（DPO）の任命

GDPRでは、一部の企業や組織にDPOの任命が義務付けられています。DPOは、企業内での個人データの取り扱いを監督し、GDPRの要件が適切に守られているかを確認する役割を担います。
次のような場合、DPOの任命が必要になります。

• オンライン行動の追跡など、ユーザーを大規模かつ継続的にモニタリングしている場合
• 健康情報、遺伝情報、生体認証データなどの特別カテゴリの個人データを大規模に処理している場合
• 公的機関または公共団体である場合（裁判所や独立した司法機関は除く）

DPOは、社内の従業員が担当する場合もあれば、外部専門家を契約で任命する場合もあります。いずれの場合でも、独立した立場で業務を行い、社内への助言、データ保護対策の監督、そしてDPAとの主要な連絡窓口としての役割を担います。

データ移転の保護措置

個人データをEU域外へ移転する場合、GDPRでは移転先でも同等のデータ保護水準が確保されることを求めています。そのため企業は、GDPRの基準を満たすための適切な保護措置を講じる必要があります。

データ移転を保護するために、GDPRではいくつかの方法が認められています。

• 十分性認定：EUが十分なデータ保護水準を備えていると認定した国へデータを移転できます。
• 契約上の保護措置：EU域外の受領者との契約に特定の条項を盛り込むことで、データ保護を確保できます。
• 例外規定：本人が明確な同意を与えた場合や、契約上必要な場合など、特定の条件下ではデータ移転が認められることがあります。

GDPRにおけるセキュリティ対策と暗号化

企業や組織は、個人データを不正アクセス、改ざん、紛失から守るために強固なセキュリティ対策を導入する必要があります。これには、暗号化などの技術的対策や、アクセス権限を限られた担当者のみに制限するなどの組織的な管理措置が含まれます。

暗号化は、開かれた社会におけるプライバシーと自由を守るうえで重要な役割を果たしており、データ漏えいを防ぐための最も有効な手段の一つとされています。

データ侵害（データ漏えい）の報告

データ侵害が個人の権利や自由にリスクをもたらす可能性がある場合、企業は72時間以内に関連するDPAへ報告する必要があります。リスクが高い場合には、影響を受けた個人にも通知しなければなりません。

定められた期限内に報告を行わない場合、罰則が科される可能性があります。そのため企業は、データ侵害を迅速に検出し、評価し、対応できる明確な手順を整備しておくことが重要です。

従業員の意識向上とトレーニング

GDPRへの対応は、単にポリシーを整備するだけでは十分ではありません。従業員がその内容を理解し、実際の業務で適切に運用できることが重要です。そのためには、個人データを責任を持って扱い、個人の権利を尊重するための明確なガイドラインと定期的なトレーニングが必要です。こうした組織全体での意識向上は、データ侵害の防止と継続的なコンプライアンス維持に役立ちます。

GDPRの執行と違反時の罰則

EEAの各国には、企業や組織がデータ保護規則を適切に遵守しているかを監督するDPAがあります。これらの当局は、調査の実施、関連書類の提出要求、さらには企業への監査や立ち入り検査などを行う権限を持っています。

企業がGDPRに違反していると判断された場合、重い罰則が科される可能性があります。重大な違反では、最大2,000万ユーロ、または世界全体の年間売上高の4％のいずれか高い額の制裁金が科されることがあります。金銭的な制裁に加え、当局は企業に対して是正措置を命じることもあります。例えば、特定のデータ処理の停止や、データ保護対策の強化を求められる場合があります。

こうした強力な執行権限により、GDPRへの対応は任意ではなく義務であることが明確にされています。個人データを扱う企業はその責任を真剣に受け止めなければならず、怠れば大きなコストを伴う結果を招く可能性があります。

GDPRはアメリカにも適用されるのか？

GDPRはEUの規則ですが、その適用範囲はヨーロッパに限定されません。EU居住者の個人データを扱う場合、米国企業であってもGDPRの対象になる可能性があります。つまり、ヨーロッパに拠点がなくても、特定の条件を満たす活動を行っていればGDPRへの対応が求められる場合があります。

米国企業がGDPRに対応する場合

GDPR第3条では、次のような場合に米国企業もGDPRを遵守する必要があると定められています。EUに拠点を持つ場合、またはEU居住者に商品やサービスを提供している場合（無料サービスであっても対象です）。さらに、Cookieやトラッキング、ターゲット広告などを通じてEU居住者のオンライン行動を監視する場合も、GDPRの適用対象になります。

GDPRに対応するために、米国企業は次のような対策を取る必要があります。

• 収集している個人データの種類を把握・監査する
• 同意や契約上の必要性など、各データ処理の法的根拠を明確にする
• EUから米国へのデータ移転を評価し、標準契約条項（SCCs）など適切な保護措置が整備されていることを確認する
• EUに拠点がない場合は、EU域内にGDPR代表者を任命する
• Webサイトでのデータ収集やCookie利用について事前の同意を取得する
• GDPRの義務やデータ主体の権利を反映するよう、プライバシーポリシーを更新する

GDPRとCCPA・CPRAの違い

GDPRでは、個人データを処理する前に明確な同意を取得することが求められます。一方、カリフォルニア州消費者プライバシー法（CCPA）およびその改正法であるカリフォルニアプライバシー権法（CPRA）は、オプトアウト方式を採用しています。

カリフォルニアでは、企業が個人情報を収集・処理する際、通常は事前同意は必要ありません。ただし、データの販売や共有、未成年のデータの取り扱い、機微情報の処理など、特定のケースでは例外があります。

これらの法律は透明性を重視しており、企業に対してデータの利用方法をユーザーに通知し、個人データの販売や共有を簡単にオプトアウトできる仕組みを提供することを求めています。つまりカリフォルニアでは、事前同意よりもユーザーのコントロールと情報の透明性が重視されています。

米国企業にとって重要なのは、この違いです。GDPRのような厳格な同意要件は米国では同じ形で採用されていないため、EUと米国の両方で事業を展開する企業は、それぞれの制度に合わせてデータ管理の運用を調整する必要があります。

GDPRにおけるCookieの役割とは？

GDPRでは、個人を特定したりオンライン上の行動を追跡できるCookieは個人データとみなされます。これには従来のCookieだけでなく、デバイスやブラウザ設定に基づいてユーザーを特定するブラウザフィンガープリンティングなどの技術も含まれます。

ウェブサイトは、ユーザーが受け入れるCookieの種類を選択できるようにする必要があります。これは細分化された同意と呼ばれる仕組みです。ただし、サイトの機能に不可欠なCookieについては、ユーザーの同意は必要ありません。

GDPRは同意の取得方法を定めていますが、EUにおけるCookieの利用はePrivacy指令によっても規制されています。この指令は、Cookieなどのオンライン追跡技術を対象とする規制として、GDPRを補完する役割を果たしています。そのため、多くのWebサイトではEUからの訪問者に対してCookieバナーを表示し、必須ではないCookieが設定される前に設定を選択できるようにしています。

ブラウジング中のトラッキングを減らしたい場合は、VPN（仮想プライベートネットワーク）の利用も有効です。VPNを使うとIPアドレスを隠し通信を暗号化できるため、よりプライバシーを保ちながらインターネットを利用できます。

GDPRに関するよくある誤解

GDPRは施行から数年が経っていますが、企業にとって実際に何を意味するのかについてはいまだ多くの誤解があります。ここで主なポイントを整理してみましょう。

GDPRはEU企業だけに適用される

GDPRはEU域内の企業だけに影響すると思われがちですが、実際には適用範囲はそれよりもはるかに広いものです。米国やJapan,を含むEU域外の企業でも、EU居住者に商品やサービスを提供したり、トラッキング技術などを用いてオンライン行動を監視したりする場合は、GDPRを遵守する必要があります。

個人データ処理には常に同意が必要

もう一つのよくある誤解は、GDPRでは個人データを処理する際に必ず同意が必要だというものです。実際には、同意は複数ある法的根拠の一つに過ぎません。企業は、契約の履行、法的義務、生命や安全に関わる利益、公的任務、または正当な利益といった根拠に基づいてデータを処理することもできます。ただし、その際には個人の権利が尊重されなければなりません。ほかに適用できる法的根拠がない場合に、同意が必要になります。

GDPRは罰金のための制度に過ぎない

多くの人はGDPRを高額な制裁金を科す制度だと考えがちですが、本来の目的はプライバシー権の強化と責任あるデータ管理の促進にあります。罰則は確かに大きい場合がありますが、重要なのは企業が個人データを透明性をもって安全に扱い、個人の権利を尊重することです。

GDPRによってマーケティングはできなくなる

GDPRによってマーケティングが不可能になるという誤解もあります。しかし、この規則はマーケティングを全面的に禁止するものではありません。個人データが公正に利用されるようルールを定めているだけです。同意や正当な利益など適切な法的根拠があれば、企業はプライバシー権を尊重した形でEU居住者に対するマーケティング活動を続けることができます。