GDPR（EU一般データ保護規則）とは？仕組み・対策・事例をわかりやすく解説

📖

Overview

GDPR（General Data Protection Regulation：EU一般データ保護規則）とは、EU（欧州連合）およびEEA（欧州経済領域）における個人データの保護とプライバシーに関する包括的な法規制です。2018年5月25日に施行され、EU市民の個人データを取り扱うすべての組織に適用されます。GDPRはEU域内に拠点を持つ企業だけでなく、EU市民にサービスを提供するまたはその行動を監視する域外の企業にも適用される点が大きな特徴です。

GDPRは個人データの処理に関して、合法性・公正性・透明性、目的の限定、データの最小化、正確性、保存の制限、完全性と機密性、説明責任の7つの基本原則を定めています。違反した場合の制裁金は最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方となっており、個人データ保護の法律としては世界で最も厳格な規制の一つです。

GDPRの施行は世界のデータ保護法制に大きな影響を与え、ブラジルのLGPD、カリフォルニア州のCCPA/CPRA、タイのPDPA、日本の改正個人情報保護法など、多くの国・地域でGDPRを参考にした法律が制定・改正されました。グローバルにビジネスを展開する企業にとって、GDPRへの準拠はもはや選択ではなく必須要件となっています。

🔬

Details

データ主体の権利

GDPRはデータ主体（個人）に対して強力な権利を付与しています。アクセス権は自身の個人データがどのように処理されているかを知る権利、訂正権は不正確な個人データの修正を求める権利です。消去権（忘れられる権利）は一定の条件下で個人データの削除を要求できる権利であり、処理制限権はデータ処理の制限を求める権利です。データポータビリティ権は自身のデータを構造化された機械可読な形式で受け取り、他の管理者に移転する権利を保障します。

個人データの定義と特別カテゴリ

GDPRにおける個人データの定義は非常に広範で、識別された、または識別可能な自然人に関するあらゆる情報を含みます。氏名、メールアドレス、IPアドレス、Cookie識別子、位置データなどが該当します。さらに、人種・民族的出身、政治的見解、宗教、生体データ、健康データ、性的指向などの特別カテゴリのデータは、より厳格な保護が求められ、原則として処理が禁止されています。

処理の法的根拠

GDPRでは個人データの処理にあたり、6つの法的根拠のいずれかが必要です。同意（データ主体による明確な同意）、契約の履行（契約上の義務の遂行に必要な処理）、法的義務（法令遵守のために必要な処理）、重大な利益の保護（生命に関わる場合）、公共の利益（公的任務の遂行に必要な処理）、正当な利益（管理者の正当な利益のために必要で、データ主体の権利を過度に侵害しない処理）です。同意を法的根拠とする場合、それは自由意思に基づき、具体的で、説明を受けた上での、明確な意思表示でなければなりません。

越境データ移転

GDPRはEU域外への個人データの移転を厳しく制限しています。移転が許可される条件として、十分性認定（移転先の国が十分なデータ保護水準を有すると欧州委員会が認定）、標準契約条項（SCC）（欧州委員会が承認した契約条項の使用）、拘束的企業準則（BCR）（多国籍企業グループ内でのデータ移転に関する社内規則）などがあります。

日本は2019年1月に十分性認定を取得し、EU-日本間のデータ移転が円滑化されました。一方、米国との間ではEU-USデータプライバシーフレームワーク（DPF）が2023年に成立し、認定された米国企業への移転が可能となっていますが、その有効性については引き続き議論が続いています。

データ保護責任者（DPO）

データ保護責任者（DPO：Data Protection Officer）の選任は、公的機関、大規模な個人データの定期的・体系的な監視を行う組織、特別カテゴリのデータを大規模に処理する組織に義務付けられています。DPOはデータ保護に関する専門知識を有し、組織内で独立した立場から助言・監視を行います。DPOの連絡先はデータ主体と監督機関に公開される必要があります。

🛡️

Security Measures

01
データマッピングと処理記録の作成：組織が保有するすべての個人データについて、収集元、保管場所、処理目的、共有先、保存期間を網羅的に記録してください。ROPA（処理活動の記録）を作成・維持し、データフローを可視化することがGDPR準拠の第一歩です。
02
プライバシー・バイ・デザインの実践：新しいシステムやサービスの設計段階からデータ保護を組み込んでください。データの最小化原則に従い、目的に必要な最小限の個人データのみを収集・処理し、デフォルトでプライバシー保護が最も高い設定を採用しましょう。
03
データ主体の権利行使への対応体制の整備：アクセス権、消去権、データポータビリティ権など、データ主体からの権利行使要求に対して1ヶ月以内に対応できる体制を整えてください。自動化されたリクエスト処理システムの導入も検討しましょう。
04
データ侵害通知プロセスの確立：個人データの侵害が発生した場合、72時間以内に監督機関に通知する義務があります。インシデント検知、影響評価、通知判断、監督機関・データ主体への通知までのプロセスを事前に定義し、定期的に訓練してください。
05
データ保護影響評価（DPIA）の実施：新技術の導入やプロファイリングなど、個人の権利に高いリスクをもたらす可能性がある処理を行う前に、DPIAを実施してください。リスクを特定し、軽減策を講じることで、問題の発生を未然に防ぎましょう。
06
従業員教育と意識向上：GDPRの要件と個人データの取り扱いに関する教育を全従業員に定期的に実施してください。特に個人データを直接取り扱う部門には、具体的な業務手順とインシデント発生時の報告手順を徹底的に教育しましょう。

⚠️

Incidents

📋 Meta（Facebook）への12億ユーロの制裁金（2023年）

2023年5月、アイルランドデータ保護委員会はMeta（旧Facebook）に対し、GDPR史上最高額となる12億ユーロ（約1,800億円）の制裁金を科しました。EU市民のFacebookデータを米国に移転する際に、適切な保護措置を講じていなかったことがGDPR第46条に違反すると判断されました。

この決定は、EU-米国間のデータ移転に関するSchrems II判決（2020年）を受けたもので、米国の大規模監視プログラムからEU市民のデータを十分に保護できていないことが問題とされました。Metaは6ヶ月以内にEU市民のデータの米国への移転を停止するよう命じられました。

📋 Amazon Europeへの7億4,600万ユーロの制裁金（2021年）

2021年7月、ルクセンブルクのデータ保護監督機関（CNPD）はAmazon Europe Core S.a.r.l.に対し、7億4,600万ユーロ（約1,000億円）の制裁金を科しました。Amazonの広告ターゲティングシステムにおけるユーザーの同意取得プロセスがGDPRの要件を満たしていないと判断されました。

この処分はフランスのプライバシー保護団体La Quadrature du Netによる集団申立てがきっかけとなり、Amazonがターゲティング広告のために個人データを処理する法的根拠が不十分であることが認定されました。巨額の制裁金は、GDPR違反の結果がいかに深刻であるかを世界中の企業に示しました。

📋 British Airwaysのデータ侵害と制裁金（2018年〜2020年）

2018年、British Airwaysのウェブサイトが攻撃者によって改ざんされ、約40万人の顧客の氏名、住所、クレジットカード情報を含む個人データが窃取されました。攻撃者はWebサイトの決済ページにスキミングスクリプトを挿入し、顧客が入力したデータをリアルタイムで外部サーバーに転送していました。

ICO（英国情報コミッショナー事務所）は当初、GDPRに基づき1億8,339万ポンドの制裁金を予告しましたが、新型コロナウイルスの影響や航空業界への配慮から、最終的に2,000万ポンド（約33億円）に減額されました。この事例は、Webアプリケーションのセキュリティ不備がGDPR違反につながることを示す代表的な事例です。

🔗