GDPRとは？個人情報保護法との違い、日本の立場、会社がすべきことをわかりやすく解説

インターネットの普及で情報のグローバル化が進む現代において、「GDPR」という法律が注目され始めています。EU領域内に住んでいる人々の個人データを保護する目的で制定されたGDPRですが、実は日本にも影響する法律なのです。特に、海外の個人データを扱うビジネスをしている日本企業は、適切な対応をしなければ大きなダメージを負う可能性すらあります。

この記事では、GDPRの概要や日本への影響について解説します。また、日本の個人情報保護法との違いや関連する他の用語（BCR、DPA、SCC）についても紹介します。GDPRについて詳しく知りたい方は、ぜひ参考にしてください。

SDGsのはじめの一歩を実現する「SDGsの社内浸透方法」とは？

⇒解説資料のダウンロードはこちらから

＼SDGsイベント・研修向け体験型アクティビティの資料はこちら／

SDGsイベントの資料をダウンロードする

GDPRとは？　

GDPRは正式名称を「General Data Protection Regulation」といい、日本語では「一般データ保護規則」と呼ばれます。EU領域内の個人データを保護するための法律で、2018年5月25日に施行されました。

そもそもEUでは、「EU基本権憲章」という法で個人データの保護が基本的人権の1つと定められています。しかし、1993年に複数の加盟国により誕生したEUでは加盟国ごとに独自の法律があり、対処にバラつきがありました。そのため、1995年に「EUデータ保護指令（Data Protection Directive 95）」を制定し、加盟国間で意識を統一させました。

GDPRはEUデータ保護指令の後継にあたる法律で、内容がより厳格化されたものです。技術の急速な発展やグローバル化によってデータ保護に関する状況が大きく変わり、これまで以上に強固に保護する枠組みが必要になったため、それに対応する目的で制定されました。

参考：GDPR ｜個人情報保護委員会

GDPRにおける個人情報の範囲　

GDPR第4条では、「個人情報」を以下のように定義しています。

上記の内容に合う個人情報の一例として、以下のものが挙げられます。

• 氏名
• 識別番号
• 所在地データ
• メールアドレス
• オンライン識別子（IPアドレス、Cookie）
• クレジットカード情報
• パスポート情報

基本的に、「個人情報」と聞いてイメージできるものはほぼ範囲内であるとい言えるでしょう。

参考：EU一般データ保護規則（GDPR）の概要（前編） | NTTデータ先端技術株式会社

従わなかった場合の罰則

GDPRに違反した場合は、内容に応じて制裁金や監査調査、作為または不作為に関する遵守命令、警告などの罰則が科せられます。特に重い罰則である制裁金については、上限金額が以下のように決められています。

• 1,000 万ユーロ以下または、企業の場合には前事業年度の全世界年間売上高の 2％以下のいずれか高い方
• 2,000 万ユーロ以下または、企業の場合には前事業年度の全世界年間売上高の 4％以下のいずれか高い方

1ユーロ＝135円（2022年4月時点）で計算すると、1,000万ユーロは13億5,000万円、2,000万ユーロは27億円となります。これだけの制裁金を科課せられれば、企業の経営に大きな打撃となることは間違いありません。

参考：「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）

SDGsの社内浸透にお困りですか？ SDGsコンパスなら体験を通してSDGsを楽しく学べます！

⇒SDGsコンパスの資料を見てみたい

日本においてGDPRへの対応が必要な2つのケース

GDPRは基本的に、EU領域内の人々に適用される法律です。ただ、「短期出張や短期旅行でEU内にいる外国人の個人情報を、EU領域外の第三国に移転する場合」や、「外国企業からEU内に出向した従業員の情報」など、EU領域内に国籍がなかったり、短期間しかいなかったりした人の個人情報も保護対象になるケースがあるようです。そのため、日本企業でも状況によってはGDPRへの対応が必要になります。

一例として、ネット通販を行っているケースはGDPRが関わってくる可能性が高いといえます。というのも、インターネットでEU領域内に済んでいる個人が商品を購入した場合には、その顧客の個人データはGDPRの保護の対象となるのです。扱った個人データがEU領域内の人物のものである以上、店舗やサーバーが日本国内にあろうともGDPRに対応する必要があります。

ほかにも、インターネットで個人データの取引をしているケースもGDPRへの対応が必要です。例えば、インターネットで日本の旅館に宿泊予約をする際、ほとんどのサイトで氏名や住所、クレジットカード情報といった個人データの登録を求められます。予約者がEU領域内の個人であれば、「短期出張や短期旅行でEU内にいる外国人の個人情報を、EU領域外の第三国に移転する場合」という条件にあてはまるため、GDPRを遵守する必要があるのです。

このように、ビジネスのメインターゲットが日本国内の人々であったとしても、EU領域内の人々が顧客となる可能性がある以上は、GDPRの適用対象となる可能性があることを覚えておきましょう。

参考：「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）

GDPRにおいて事業者がすべきこと　

前項で、EU領域内に住んでいる個人の個人データを扱うケースでは、日本企業であってもGDPRへの対応が必要であると述べました。個人情報保護委員会の資料で告知されている、GDPRにおいて事業者が担う義務の例は以下のとおりです。

上記の義務を鑑みると、通知や同意といった日本の個人情報保護でも行われている内容のほか、代理人やデータ保護オフィサーの専任などの独自の内容もあります。EU領域内の人々の個人データの扱いにおいてこれらの義務を怠り、GDPRに違反した場合は、前述のように重い罰則を受けるケースがあるため、GDPRの条件にあてはまる場合は確実に義務を果たすようにしましょう。

参考：GDPRの概要と十分性認定について（PDF）

GDPRに対する日本の立場　

GDPRは基本的にEU領域内で適用される法律ですが、一定の条件下では日本の事業者も対応すべき義務があると前述しました。そのGDPRに対して、現在の日本は「十分性認定」を受けています。十分性認定とは、相互に「個人データの移転を行うことができるだけの十分なデータ保護の水準を持つ」と認めることです。

日本が十分性認定を受けたことで、EU 領域内から日本へ個人データを移転するのに、拘束的企業準則や標準データ保護条項が必要なくなり、日本から EU 領域内への個人データの移転において、本人の同意は必要なくなりました。

より円滑な個人データの移転がお互いにできるようになったわけですが、日本の企業が受け取ったEU領域内の個人データに対してGDPRが適用されることには変わりありません。十分性認定については定期的に見直しされるため、認定停止とならないよう、日本企業はGDPRにきちんと対応していく必要があります。

参考：GDPRの概要と十分性認定について（PDF）

GDPRと日本の個人情報保護法　

そもそもGDPRは、日本の「個人情報保護法」に相当する法律といえます。GDPRと個人情報保護法には「個人情報を保護する」という根本的な目的は共通していますが、内容にも相違点があります。ここではGDPRと日本の個人情報保護法を違いについてみていきましょう。

個人情報保護法とは　

日本の個人情報保護法は、民間事業者に対して個人情報の取り扱いについて規定した法律で、2003年に制定、2005年に全面施行されました。

この法律が制定された背景には、インターネットの普及があります。ネット上で個人情報を活用した便利なサービスが次々にうまれた一方で、個人情報の悪用によるトラブルも増えてきました。そのため、個人情報を適切に活用しつつ悪用を防いで個人の権利を守る目的で、個人情報保護法がつくられたのです。

GDPRと日本の個人情報保護法の違い　

個人情報を保護するという点では共通しているGDPRと個人情報保護法には、おもに以下のような違いがあります。

上表をみると、保護の対象に「IPアドレス」「Cookie」なども含めたり、個人データの侵害が起こった際には「72時間以内の通知」が必要だったりと、GDPRの方が個人情報保護法よりも厳格な法律であることがわかります。

企業にとって特に気になる点である罰則について、個人情報保護法も改正するごとにアップデートされていますが、それでも十数億円規模の罰金が科せられる可能性のあるGDPRの方が、断然厳しいでしょう。

参考：GDPRの概要と十分性認定について（PDF）

GDPRと関連する用語についても知っておこう

GDPRにはいくつかの関連用語があります。そのなかから3つの用語を解説します。

BCR　

「BCR」の正式名称はBinding Corporate Rulesで、日本語にすると「拘束的企業準則」という意味になります。GDPRに則り、EU領域内で取得された個人データを保護するための方針と、その個人データをEU領域外で共有する場合のルールを定めたものです。

参考：BCR（拘束的企業準則）の承認 | インターネットイニシアティブ(IIJ)

DPA　

「DPA」の正式名称はData Protection Authorityで、日本語にすると「データ保護当局」という意味です。GDPRにおけるデータ処理プロセスを監視するのが役割で、適切に個人データが取り扱われているかを継続的にチェックしています。

参考：今さら聞けないGDPR対策を聞く――概要から基本原則まで最低限理解すべきこと (2/3)：EnterpriseZine（エンタープライズジン）

SCC　

「SCC」の正式名称はStandard contractual clausesで、日本語では「標準的契約条項」を意味します。GDPRに則って、EU領域内の個人データを領域外の第三国へ移転させる際に結ぶ契約のことです。SCCを結ぶことで、GDPRでは違反とされている第三国への個人データの移転が可能になります。

参考：欧州委員会、新しい標準契約条項を採択：知っておくべきこと | Jones Day

SDGs研修・体験型SDGsイベント

【SDGs研修】ワールドリーダーズ（企業・労働組合向け）

概要

• SDGs社会に合わせた企業経営の疑似体験ができるSDGsビジネスゲーム
• 各チームが1つの企業として戦略を立てて交渉し、労働力や資金を使って利益最大化を目指す
• オプションとして「SDGsマッピング」を行うことで学びの定着・自分ごと化

特徴

• 自分達の利益を追求しつつも、世界の環境・社会・経済も気にしなければならず、ビジネス視点からSDGsを感じ、考えることができる
• チームで戦略を練り様々な可能性を話し合う必要があるため、深いチームビルディングに繋がる
• 様々な選択肢の中から取捨選択して最適解を導く考え方を身につけることができる

サービスの詳細をまとめた資料はこちらから

【親子参加型職業体験イベント】キッズタウンビルダーズ（商業施設・企業・労働組合向け）

概要

• 体験を通じてSDGs目標の「質の高い教育」を学べる親子参加型ワークショップ
• 子どもが楽しみながらも本気で学べる、複数の職業体験を実施
• 会議室やホールなど企業様のイベントとしても開催可能

特徴

• あえて「映える」職業ではなくありふれた職業を選定している
• 合計で就業人口の7割を占める上位5つの職業をピックアップし、本質的な学びが得られる職業体験
• ファミリーが高い関心を持つテーマ性のあるイベントで集客・施設周遊を促進

サービスの詳細をまとめた資料はこちらから

【親子・子ども向け地域イベント】SDGsアドベンチャー（商業施設・自治体向け）

概要

• 体験を通じてSDGsを学べる親子・子ども向けワークショップ
• 子どもが本気で楽しめる複数の体験型アクティビティを実施
• すべてクリアした方にSDGs缶バッチをプレゼント

特徴

• ハッピーワールドの世界観を演出することで参加者が没入感をもって取り組める
• 海の環境やゴミの分別・再利用など、参加者は身近なことからSDGsを学べる
• ファミリーが高い関心を持つテーマ性のあるイベントで集客・施設周遊を促進

サービスの詳細をまとめた資料はこちらから

まとめ

GDPRは、EU領域内に住んでいる人々の個人データを保護するための法律です。基本的にはEU領域内で適用されるものですが、日本にまったくの無関係というわけではありません。たとえ、日本国内の企業によるビジネスであっても、EU領域内の人の個人データを取り扱った時点で、GDPRの対象となる可能性が高いのです。

GDPRに違反すると、今後の企業経営に大打撃を与えかねない額の制裁金を科課せられることもあるため、EU領域内の個人データを扱う可能性のある企業は、GDPRにおいて企業が果たすべき義務をしっかり確認しておきましょう。

SDGsのはじめの一歩を支援するSDGsイベント・研修とは？

⇒サービス総合資料はこちらから

SDGsのはじめの一歩を実現する「SDGsの社内浸透方法」とは？

進めるための具体的なステップを紹介！

⇒解説資料のダウンロードはこちらから

自分ゴト化を促進！3分で分かるSDGs研修・イベントサービスの詳細動画

＼SDGsイベント・研修向け体験型アクティビティの資料はこちら／

SDGsイベントの相談をする

IKUSAのSDGsコンパスでは、あそびを取り入れたSDGs体験型イベントを通じて、SDGsの「はじめの一歩」を踏み出す支援をいたします。ぜひお気軽にご相談ください。

SDGsとは

この記事を書いた人

マッスー

Webライター兼Web編集者。出版社に約10年勤務した後にフリーランスに。おもに、金融系・社会科系・ライフスタイル系のジャンルで執筆・編集に携わっています。基本的には引きこもりの超夜型で、お気に入りの音楽とスイーツに囲まれながら仕事をしています。