一般データ保護規則(GDPR)(規則(欧州連合)2016/679)は、2016年4月27日に採択されました。2018年5月25日に発効されました。

この規則は、欧州議会、欧州連合理事会、欧州委員会によって承認されています。欧州連合(EU)全域で人々の個人データを保護するものです。この政令は、EUからのデータ輸出にも影響します。

GDPRは、市民が自分の個人データをコントロールできるようにすることを目的としています。EUの手続きを標準化することで、他国との経済関係の規制を簡素化するものです。GDPRは、1995年のデータ保護指令に取って代わるものです。GDPRの新法は、EU内の現地法を変更する必要はありません。この規制には拘束力があります。

GDPR法を遵守しない人や企業は、最大2000万ユーロの罰金、または前年度の企業利益の最大4%のどちらか高い方の数字に処される可能性があります。

GDPRの目的と基本的な特徴

GDPRは、個人(データ主体)のプライバシー権を強化し、個人データの処理に関する透明性と説明責任を確保することを目的としています。主な特徴は次のとおりです。

  • 直接適用性:GDPRは規則(Regulation)であり、加盟国は欧州レベルでの統一基準を個別に採用する必要がない(ただし、特定分野については各国が追加規定を定める余地がある)。
  • 広い適用範囲(域外適用):EU域内の個人のデータを処理する場合、またはEU域内の者に商品やサービスを提供する、行動を監視するなどの目的でEU域外の事業者にも適用される。
  • 厳格な罰則:違反の程度に応じて、最高で2,000万ユーロまたは全世界年間売上高の4%(高い方)が科され得る。

適用対象と定義のポイント

  • 個人データ:氏名、メールアドレス、位置情報、識別子、オンライン識別子、健康情報など、識別されたまたは識別可能な自然人に関するあらゆる情報。
  • 処理:収集、保存、利用、伝送、削除など、個人データに対するほとんどすべての操作が含まれる。
  • コントローラー(管理者):データ処理の目的と手段を決定する者。
  • プロセッサー(処理者):コントローラーの指示に基づきデータを処理する者。
  • 共同コントローラー:複数の主体が共同で処理目的・手段を決定する場合。

データ処理の合法性(法的根拠)

個人データを処理するためには、少なくとも一つの合法的な根拠が必要です。代表的な根拠:

  • 当該データ主体の同意(明確で自由な同意が必要)
  • 契約の履行のため(契約上の必要)
  • 法的義務の履行のため
  • 生命の保護など重大な利害(vital interests)
  • 公的機関による職務の遂行(公的任務)
  • 正当な利益(Legitimate interests):コントローラーや第三者の正当な利益があり、データ主体の権利利益を上回らない場合

データ主体の権利(主なもの)

  • アクセス権:自分のデータが処理されているか、どのように処理されているかを知る権利。
  • 訂正権:不正確なデータを修正する権利。
  • 消去権(忘れられる権利):一定の条件下でデータの削除を求める権利。
  • 処理制限の権利:処理を一時的に止めることを求める権利。
  • データポータビリティの権利:構造化され一般に使用される機械可読な形式でデータを受け取る権利、または第三者に転送を要求する権利。
  • 異議申し立て権:特にプロファイリングや直接マーケティングに対する異議申立てが可能。
  • 自動的意思決定に対する保護:重大な法的影響を与える自動化された意思決定に関して、人間による介入を求める権利など。

特別カテゴリ(機微データ)と子どものデータ

人種、宗教、健康、性的指向などの「特別カテゴリ」データはより厳格に扱われ、原則として処理は制限されます。子どものオンラインサービスに関しては同意年齢が定められており、一般的に16歳だが、加盟国によっては13歳まで緩和可能です。

義務となる技術的・組織的対策

  • 記録保持:多くのコントローラー・プロセッサーは処理活動の記録(Record of Processing Activities)を維持する必要がある。
  • データ保護影響評価(DPIA):高リスクの処理には事前に評価を行う義務。
  • データ侵害時の通知:個人データ侵害が発生した場合、原則として72時間以内に監督当局に通知し、必要に応じてデータ主体にも連絡する。
  • データ保護責任者(DPO):公共機関や大規模な定期的・体系的監視、特別カテゴリの大規模処理を行う事業者などはDPOを任命する必要がある。

監督機関とワンストップショップ制度

各EU加盟国には独立した監督当局(Data Protection Authority, DPA)があり、違反の調査・制裁を行います。越境処理を行う場合は「ワンストップショップ」制度により、主要な事務所(lead supervisory authority)が調整役を務めることで複数国での手続きが一本化されます。

域外移転(EU外へのデータ移転)

EU外に個人データを移転する場合、十分性認定(Adequacy Decision)がある国への移転は自由ですが、ない国への移転は標準契約条項(SCC)や拘束力のある企業規則(BCR)などの適切な保護措置が必要です。各種の判例や規制改定により要件が変動するため最新情報の確認が重要です。

制裁と罰則の詳細

GDPRの違反は、その性質と重大度に応じて2段階の上限が設けられています(代表例):

  • 重大な違反:最高で2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方(例:基本原則の違反、データ主体の権利侵害、国際データ転送の違反等)。
  • その他の違反:最高で1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方(例:記録保持義務、DPOの義務違反、適切な技術的対策を講じなかった等)。

実務的な遵守チェックリスト(企業・組織向け)

  • 処理している個人データの範囲と目的を把握し、記録を整備する。
  • 法的根拠を明確にし、必要な場合は同意を取得する(同意の記録化と撤回手続き)。
  • データ保護方針、プライバシーポリシーを公開し、透明性を確保する。
  • データ侵害対応計画を策定し、侵害発生時の通知手順を整備する。
  • 必要に応じてDPOを任命し、内部責任体制を明確にする。
  • DPIAが必要な処理を特定し、事前評価を実施する。
  • EU域外に移転する場合の法的措置(SCC、BCR等)を整備する。
  • 従業員教育とアクセス管理、暗号化などの技術的対策を実施する。
  • サプライヤー(プロセッサー)との契約にGDPR準拠条項を含める。

補足と今後の動向

GDPRは採択以来、判例や監督当局のガイダンス、欧州委員会の見解等によって実務運用が進化しています。特に越境データの取り扱い、同意の要件、オンライン追跡や広告に関する規制は注目される分野です。最新のガイダンスや各国の監督当局の公表資料を定期的に確認することが重要です。

以上がGDPRの主要ポイントと実務上の注意点です。組織の規模や業種によって適用範囲や必要措置は異なるため、具体的な対応策については専門家と相談することをおすすめします。