一般データ保護規則
GDPR (General Data Protection Regulation)
EUが2018年に施行した個人データ保護法。世界で最も厳格なプライバシー規制
一般データ保護規則(GDPR)とは?
GDPRは、欧州連合(EU)が2018年5月に施行した個人データの保護に関する規制です。 世界で最も厳格なプライバシー法として知られ、EU内の居住者の個人データを扱うあらゆる組織が対象になります。日本企業であっても、EUのユーザー情報を処理していれば遵守義務が生じます。
ひとことで言うと: 個人情報は「その人の大事な資産」という考え方で、企業が勝手に使ったり売ったりすることを厳格に禁止した法律。
ポイントまとめ:
- 何をするものか: EUの居住者の個人データ処理に関する厳格なルールを定める
- なぜ必要か: デジタル化に伴い、企業による過度なデータ利用から個人の権利を守るため
- 誰が対象か: EU内のユーザー情報を扱うすべての企業(国籍問わず)
なぜ重要か
GDPRが施行される前、個人データは企業の「資産」として扱われていました。Facebookが20億人のユーザーデータを第三者企業に販売したり、データ流出が報告されても軽い罰金で済まされたりしていた時代です。
GDPRは、この根本的な考え方を変えました。個人データは「その人の基本的人権」として扱われるべきもので、本人の明示的な同意がない限り、企業は勝手に利用できないと規定したのです。
この転換により、データ流出や不適切な利用に対する罰金が劇的に増加しました。違反時の罰金は売上高の4%またはユーロ建てで2000万ユーロのいずれか大きい方となるため、多国籍企業にとっては数十億円の損害を被る可能性があります。そのため、Appleがデータ最小化を強化したり、マイクロソフトがプライバシー機能を大幅に強化したりと、世界のテック企業がGDPRに準拠する動きが広がっています。
適用範囲
GDPRは以下のいずれかに該当する組織に適用されます。
EUおよび欧経済地域(EEA)に拠点を持つ組織であれば、処理するデータがどこにあろうと適用対象になります。これはEU域内企業に限りません。日本の東京に本社がある企業でも、EU内のユーザー情報を処理していれば遵守義務が生じます。
また、EU内のユーザーに「製品やサービスを提供する」または「ユーザーの行動をモニタリングしている」場合、その企業の所在地に関わらずGDPRが適用されます。例えば、日本企業がEUのユーザーを対象にオンラインストアを運営していれば、その顧客データはGDPR対象となります。
主な要件
GDPRで遵守が求められる主要な要件は以下の通りです。
本人の明示的な同意が必須です。個人データを処理する前に、その人から書面または電子的な形式で、何に同意するかを明確に示した上で同意を取得する必要があります。デフォルトでチェック欄がオンになっているような「黙示的な同意」は認められません。
データ最小化の原則があります。必要最小限のデータのみを収集し、それ以上のデータを保持してはいけません。例えば、メールアドレスと名前があれば十分な場合に、住所や電話番号まで取得することは違反です。
透明性の確保です。ユーザーに対して、どのようなデータを収集し、どのように利用するか、わかりやすく説明する義務があります。プライバシーポリシーは、法律的な文言ではなく、一般人が理解できる言語で書かれている必要があります。
削除される権利(Right to be Forgotten)を認める必要があります。ユーザーが「自分のデータを削除してほしい」と請求した場合、企業は正当な理由がない限り、そのデータを削除する義務があります。
データ保護影響評価(DPIA)の実施が必要な場合があります。高リスクなデータ処理を行う場合、事前にプライバシーへの影響を評価し、記録する必要があります。
違反した場合
GDPRの違反時の罰金は、その重大性によって異なります。
軽微な違反(例えば、ユーザーへの情報提供が不十分)の場合は、売上高の2%またはユーロ建てで1000万ユーロのいずれか大きい方が罰金の上限となります。
深刻な違反(本人の同意なくデータを処理する、データ流出を報告しないなど)の場合は、売上高の4%またはユーロ建てで2000万ユーロのいずれか大きい方が罰金額となります。多国籍企業であれば、年間売上高が数兆円の場合、4%の罰金は数百億円規模になる可能性があります。
さらに、データ流出が起きた場合、流出から72時間以内に監督機関に報告する義務があります。対応が遅れたり、隠蔽を試みたりした場合、罰金に加えて評判の大きな損失を被ります。
関連用語
- データ最小化 — GDPRで要求される基本原則の一つ
- 削除される権利 — GDPRで保障される個人の基本的権利
- DPIA(個人情報影響評価) — GDPRで義務付けられるプライバシー評価プロセス
- プライバシーバイデザイン — GDPRの要件を満たすためのアプローチ
- APPI(個人情報保護法) — 日本における同等の個人データ保護法
よくある質問
Q: 日本企業でもGDPRに準拠する必要がある?
A: EUのユーザーデータを扱っていれば、はい。例えば、あなたの会社がEUのユーザーにメールマガジンを送信していたり、EUの顧客のクレジットカード情報を保有していたりすれば、GDPRの遵守義務が発生します。「日本の企業だから大丈夫」という言い訳は通用しません。
Q: GDPRの対象から除外される小規模企業はあるか?
A: いいえ。従業員数や売上規模による除外規定はありません。個人事業主でもEUのユーザーデータを扱えば、GDPR準拠が必要です。ただし、データ処理の方法や規模によって、要求される対応の度合いが異なります。
Q: 既に収集済みのユーザーデータは、GDPRの対象になるか?
A: GDPRが施行された2018年5月以降のデータであれば、原則として対象になります。それ以前に収集したデータでも、引き続き処理する場合は、遡って本人の同意を取得する必要があります。黙示的な同意では不十分で、明示的な同意が必須となります。
