GDPRの基本概念

GDPRとは、EU一般データ保護規則(General Data Protection Regulation)のことで、EEA（欧州経済領域）における個人情報の取り扱いについて定めた法的規制です。

インターネットの普及により企業が収集できる個人データが爆発的に増加した背景を受け、「個人の権利」を保護する目的で制定されました。

GDPRは単なる規制遵守の枠を超え、企業が個人情報保護に対する透明性を確保し、消費者との信頼関係を構築するための重要な指針です。

GDPRと個人情報保護法との違い

日本の個人情報保護法は国内における個人情報の取り扱いに関するルールを定めており、基本的に日本国内の企業や組織のみが対象です。

一方、GDPRはEU（欧州連合）で施行されている規則であり、その適用範囲は地理的な制限を超えています。

もっとも重要な違いは、GDPRがEU域内に限らず、EU市民の個人データを扱う世界中の企業や組織に適用される点です。

つまり、国内の日本企業であっても、EU市民のデータを取り扱う場合はGDPRの対象となります。この域外適用の概念を従業員に明確に理解させることが、グローバル展開において重要なポイントとなります。

EU居住者の個人データを扱う限り日本企業にも適用される

GDPRは、EU圏内に所在する組織だけでなく、EUと取引のあるすべての組織に適用されます。日本企業であっても、EU居住者の個人データを扱う限りGDPRの対象となります。

重要なのは、EU域内の組織や個人と直接取引がなくても、自社のWebサイトにEU域内からアクセスがある（IPアドレスなどからユーザーがEU域内にいると判断できる）場合には、GDPRの適用対象となる可能性がある点です。

そのため、何らかのWebサイトを運営する企業は特に注意が必要です。

違反に対して厳しい制裁金が設けられている

GDPRに従わない場合、非常に厳しい制裁金が課されます。その額は最大で企業の全世界年間売上高の4％、もしくは2000万ユーロのいずれか高い方が適用されます。

「実際にそこまでの制裁金が課されることはないだろう」と考える方もいるかもしれませんが、すでに莫大な制裁金を科された企業は複数存在します。

例えば、英国のデータ保護機関である情報コミッショナーオフィス（ICO）は、英航空大手British Airwaysに対し2000万ポンド（約37.7億円：2025年4月14日時点）の制裁金を科しました。

世界規模で事業を展開する企業にとって、制裁金のリスクは経営に直結する大きな問題です。

個人データの処理

個人データの処理とは、データの取得・記録・修正・利用・保存・消去といった一連の業務活動を指します。GDPR下では、これらすべての活動が規制対象となります。

個人データの処理における主なポイントは下記の通りです。

• 処理には必ず法的根拠が必要（本人の同意、契約履行、法的義務の遵守など）
• データ収集の目的を明確に伝え、その目的以外での利用は原則禁止
• 必要最小限のデータのみを収集する「データ最小化」の原則
• 正確なデータ維持と、不要になったデータの速やかな削除

これらの原則を従業員が理解することで、日常業務における不適切なデータ処理のリスクを低減できます。

個人データの移転

EEA域内で取得した個人データを、EEA域外の第三国に移転することは原則的に禁止されています。これは、日本のグローバル企業にとって特に重要な点です。

例えば、EEA域内でサービスを展開し、そこで取得した顧客データを日本本社で閲覧したり、マーケティング分析に使用したりすることは、特定の条件を満たさない限り許可されません。

ただし、下記の例外条件があります。

• 十分性認定を受けた国・地域への移転
• 適切な保護措置（標準契約条項など）が実施されている場合
• データ主体からの明示的な同意がある場合
• 契約履行に必要な場合

重要なポイントとして、日本は2019年に欧州委員会から十分性認定を受けており、追加的な保護措置なしにEU域内から日本への個人データ移転が可能です。

ただし、この認定に基づく移転であっても、GDPR上の他の義務からは免除されないことを理解しておく必要があります。

基本的人権の保護

GDPRは単なるデータ保護規則ではなく、EU基本権憲章に基づく基本的人権保護の法的枠組みでもあります。

そのため、下記のような事項に関する規制が設けられています。

• データ主体はいつでも同意の撤回が可能
• データ主体が16歳未満の場合は保護者の同意が必要

出典：個人情報保護委員会「一般データ保護規則（GDPR）の条文」
https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

GDPR対応の社内規定を策定する

GDPR対応の第一歩は、自社の個人データ取扱状況を徹底的に把握することです。

具体的には下記の情報を整理しましょう。

• 取扱中の個人データの種類と取得経路
• データ量と、それを扱う拠点数・従業員数
• データ処理の目的と法的根拠

これらの情報をもとに、GDPR対応の社内規定を策定しましょう。

特に、インシデント対応フローを明確に記載することが重要です。

GDPRでは、個人データ侵害が発生した場合、監督機関への報告を72時間以内に行うことが義務付けられています。注意すべきは、この72時間はインシデント発生時点ではなく、「インシデントの可能性を認知した時点」から起算される点です。

日本企業では実際の侵害から発見までに時間がかかるケースが多いため、早期発見のための体制構築と迅速な報告フローの確立が研修内容のポイントになります。

DPO（データ保護責任者）を設置する

社内規定の策定後は、データ保護責任者（DPO：Data Protection Officer）の設置を検討しましょう。

すべての企業にDPOの設置が義務付けられているわけではありませんが、GDPR関連業務を効率的に進めるためには明確な責任者の存在が重要です。

DPOは主に下記の役割を担います。

• GDPR遵守状況のモニタリングと助言
• データ保護影響評価の支援
• 監督機関との連携窓口
• 従業員へのGDPR教育の推進

プライバシーポリシーを作成する

GDPRでは、透明性の原則に基づき、明確なプライバシーポリシーの作成が求められています。個人データの処理目的や内容を伝え、データ主体の権利を保護するための重要な文書です。

プライバシーポリシーでは、主に下記の内容を含めましょう。

• 個人データの収集目的と法的根拠
• 保存期間
• データ主体の権利（アクセス権、訂正権、消去権など）
• データ移転に関する情報
• 自動化された意思決定の有無

また、作成後はWebサイトなど外部からアクセスが可能な場所に掲載し、ステークホルダーに対して透明性を確保することが重要です。

提供サービスにオプトインを適用する

GDPRでは、個人データの収集・利用には原則として「オプトイン」が必要です。

オプトインとは、個人情報の取得や広告配信などに対してユーザーが明示的に同意を示すことです。

実務上は下記の点に注意が必要です。

• 事前にチェックが入った同意ボックスは無効
• 同意の撤回は取得と同じくらい容易にできること
• Cookieの使用にも明示的な同意が必要

従業員育成では、これらのオプトイン要件をサービス設計段階から組み込む「プライバシー・バイ・デザイン」の考え方を浸透させることが効果的です。

セキュリティに関する研修を実施する

GDPR対応を全社的に進めるためには、すべての従業員がGDPRとその対策について理解する必要があります。

GDPRの重要性や対応のポイントを押さえた研修プログラムを構築しましょう。

また、研修は一度限りではなく、定期的に実施することで意識の定着を図ることが重要です。

なお、社内研修ではeラーニングの活用も効果的です。従業員が日常業務の中でGDPRを意識できるよう、継続的な育成体制を整えましょう。

JMAM(日本能率協会マネジメントセンター)でも、GDPRを含む包括的なコンプライアンス教育に役立つeラーニングのコンテンツを配信しております。詳細は下記ページをご覧ください。

コンプライアンス教育に役立つ法人向け定額制eラーニング「eラーニングライブラリ®」