GDPR とは？日本企業との関係や対応する方法も解説

EU 域内の各国では、個人データの保護やその取り扱いに関する法令として GDPR（一般データ保護規則）を定めています。GDPRは、EU でビジネスを展開する企業、EU の域外で EU 居住者の個人データを取り扱う企業などが対象となります。日本企業が対象となるケースもあるため、グローバルにビジネスを展開する企業は、正しい理解と適切な対応が必要です。

本記事では、GDPR の概要や、適用対象となるデータの定義、日本企業との関係について詳しく解説します。日本企業に必要な対応方法についてもご紹介しますので、ぜひ参考にしてください。

GDPR とは EU における個人情報の収集・処理・移転に関する法令のこと

GDPR（General Data Protection Reguration：一般データ保護規則）とは、2018年に施行された EU の法令です。個人データの保護、処理、移転に関するガイドラインがまとめられており、EU 域内に拠点を持つ企業、EU 域内の事業者や個人向けにサービスを提供する企業、EU 域内の事業者から個人情報の処理を委託されている企業などを対象としています。つまり、EU 域内に居住する個人の情報を扱っていれば、企業の所在が EU 域内にあるか否かにかかわらず、GDPR の対象になります。日本企業も例外ではありません。

EU には、個人情報の保護に関する法制度を共通化するため、1995年に「EU データ保護指令」を制定しましたが、GDPR はこれを上回る厳格なルールで個人情報の取り扱いを規定したものです。

例えば、GDPR では、個人データの EU 域外への持ち出しを原則として認めていません。ただし、移転先の個人データ保護の基準が、GDPR の定めた条件を満たしている場合には、越境移転規制の制約を受けずに個人データを域外に持ち出すことができます。これを「十分性認定」といい、日本は2019年1月23日に、GDPR の十分性認定を受けています。

GDPR の個人データの定義

個人データとは、具体的にどのようなデータを指すのでしょうか。ここでは、GDPR による個人データの定義をご紹介します。以下は、GDPR の英語版の条文を、個人情報保護委員会が翻訳したものです。

「『個人データ』とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう」（※）

※　個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則（EU）2016/679（一般データ保護規則）【条文】」

氏名や住所、顔写真のように単体で特定の個人を識別しうる情報の他、情報を組み合わせることによって特定の個人を識別できる情報も個人情報に含まれます。具体的には、以下のような情報が個人データに該当します。

＜GDPR における個人データ＞
・氏名
・所在地データ
・識別番号
・メールアドレス
・オンライン識別子（IP アドレス、Cookie）
・パスポート番号
・クレジットカード番号
・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

その他の個人情報の収集・処理に関する法令

個人情報に関するグローバルな法規制は、GDPR 以外にも存在しています。個人情報の収集・処理に関する主な法令は以下のとおりです。

CCPA

CCPA（California Consumer Privacy Act）とは、カリフォルニア州消費者プライバシー法のことで、2020年1月から米国カリフォルニア州で適用が開始されました。
カリフォルニア州の住民に対する規定を定めた法律で、住民が有する個人情報を収集する企業は、所在地が州外にある場合でも対象となります。日本の企業も無関係ではありません。

中華人民共和国個人情報保護法

中華人民共和国個人情報保護法は、2021年に施行された中国の個人情報保護法です。個人情報を扱う場合には、その個人の同意を得るといった規則が定められています。
同法の適用範囲は、「中国国内の自然人の個人情報を取り扱う活動」「中国国外において、中国国内の自然人の個人情報を取り扱う活動」となっており、自然人とは中国国民に限らず、外国籍の人が含まれる場合もあります。

PDPA

PDPA は、シンガポールで2014年に全面施行され、2021年に改正された個人情報保護法です。PDPA では企業に対し、個人情報保護に関する担当・責任者の選任を義務づけているほか、個人情報を収集・使用する際には個人からの同意を得るといった原則に対応した規定・手続きを整備すること、これに関する従業員向けの周知と研修なども義務としています。
PDPA の義務・原則に違反した場合は、100万シンガポールドル（約1億円）の罰金または年間売上高の10％が科せられ、会社規模によってはさらに高い罰金が科せられることがあります。

GDPR と日本企業の関係

前述のとおり、GDPR は EU 域内で施行されている個人データ保護に関する法令ですが、日本企業も適用を受ける場合があります。GDPR と日本企業がどのような関係にあるのかについて、具体的に見ていきましょう。

GDPR の十分性認定を受けてメリットを享受している

日本は、GDPR の十分性認定を受けています。十分性認定を受けたことで、日本企業は個別に煩雑な手続きをすることなく、EU 域内から個人データを移転することができます。手続きにかかる時間やコスト、負担を大幅に軽減できるため、EU での事業をスムーズに展開可能です。
ただし、日本企業がデータを適正に保護していないことが判明した場合、十分性認定の変更や停止、撤回などが行われる可能性もあります。

GDPR に違反すると厳しい罰則がある

日本企業が GDPR に違反した場合、十分制認定の変更、停止、撤回の可能性があるだけでなく、厳しい罰則があります。
GDPR に違反した場合の制裁金は、「最大1,000万ユーロ、または前年度の年間売上高の2％のいずれか高い方」「最大2,000万ユーロ、または前年度の年間売上の4％までのいずれか高い方」の二通りです。違反のレベル、被害があったデータ主体（特定された、または特定可能な自然人）の数、故意性などによって個別に金額が判断されます。

GDPR への対応が必要な日本企業

続いては、GDPR への対応が必要な日本企業は、具体的にどのような企業なのかを解説します。自社が該当するかどうかを確認するために役立ててください。

EU 域内に子会社や営業所がある企業

EU 域内に子会社や営業所がある日本企業は、GDPR の規制対象です。顧客の個人データはもちろん、自社の現地法人で勤務している従業員の個人データに関しても、GDPR のルールにもとづいて適切に取り扱わなければなりません。

EU 域内に商品・サービスを提供している企業

EU 域内に居住するユーザーに商品・サービスを提供している企業も、GDPR の対象です。この場合、EU 域内に子会社や営業所を持っていなくても対象となるため、注意が必要です。

EU 域内の企業などから個人データの取り扱いを委託されている企業

EU 域内の企業、あるいは EU 域外から EU 域内に商品・サービスを提供する企業から個人データの取り扱いを委託された場合も、GDPR の規制を受けます。例えば、EU 域内のネット通販事業者から委託を受けて日本国内に商品を配送している配送業者は、提供された氏名や住所、電話番号などの個人情報について GDPR の規則に沿った対応が必要です。

出張などで EU 域内に従業員を派遣する企業

出張などで EU 域内に従業員を派遣する企業も、GDPR の対象となります。EU 域内への派遣期間が短い場合でも同様であるだけでなく、出向などによる滞在でも同様です。

日本企業が GDPR に対応する方法

日本企業が GDPR に対応するには、いくつか方法があります。主な方法は以下のとおりです。

プライバシーポリシーを見直す

GDPR に対応する場合は、プライバシーポリシーを見直すことをおすすめします。
プライバシーポリシーは、組織における個人情報の取り扱いについて、収集・管理・活用・保護の方針を明文化したものです。プライバシーポリシーの作成自体が法律で義務付けられているわけではありませんが、個人情報保護法第27条の「保有個人データに関する事項の公表」義務に対応する目的でプライバシーポリシーを設定しているケースは少なくありません。
EU 域内の顧客の個人情報を扱うといった場合には、GDPR の規定をよく確認し、これに沿ったものとなるようプライバシーポリシーを見直すことが大切です。

プライバシーポリシーや Web サイトの多言語化を検討する

GDPR に対応するためには、個人情報の取得に対する同意を行う際に、プライバシーポリシーなどを日本語だけではなく多言語で用意することが重要です。プライバシーポリシーを多言語化することで、サービスの透明性が確保され、ユーザーが安心して内容を確認できるようになるでしょう。
また、GDPR では、Cookie が保護の対象になる他、EU 在住者に EC サイトなどを通じて商品・サービスを提供する場合にも規制が適用されます。これに適切に対応するだけでなく、EU のユーザーに適切に情報提供するためにも、プライバシーポリシーだけでなく Web サイトも多言語化しておくのがおすすめです。

GDPR に正しく対応し、グローバルビジネスを推進しよう

GDPR は、EU 域内で事業展開する場合はもちろん、越境 EC などで EU 域内のユーザーに商品・サービスを提供する企業も規制の対象となります。GDPR に違反すると、多額の制裁金を課される可能性があるため、注意が必要です。しかし、GDPR を正しく理解し、適切に対応すれば、EU 域内での事業を軸として、グローバルビジネスを展開する力となります。

GDPR に対応するには、プライバシーポリシーを見直す、Web サイトを多言語化するといった方法がおすすめです。
18,000サイト以上の企業導入実績がある「WOVN.io」なら、1つのタグを挿入するだけで、追加の開発を行うことなく Web サイトやアプリの多言語化ができます。自社で提供している公式サイト・アプリの多言語化も容易に行えます。加えて、生成 AI や機械翻訳を用いた自動翻訳だけではなく、オプションとして人力での翻訳も対応可能です。ぜひ導入をご検討ください。