【GDPRとは？】GDPRの概要と影響を受ける国のリスト

インターネットの普及にともない、世界中の企業や個人が、自国に縛られることなく、世界中と繋がれる・取引ができる時代となりました。それに伴い、EUでは「GDPR」という法令が施行され、EU領域内に住む人々の個人データを保護する動きが進んできています。この法令はEU域内に限らず、日本を含め、EU域内と取引をする全世界の企業が対象となります。
そこで、本記事では、GDPRの意味や特徴から、GDPRの対象となる国などを徹底的に紹介していきます。

1.GDPRとは

GDPRとは日本語訳で、一般データ保護規則と訳されます。
GDPRは、EU域内の個人情報とプライバシー保護の強化を目的として作られた法令です。

1-1.GDPRの背景

インターネットの利用率が上昇し、年々企業は個人情報の取扱いに細心の注意を払う必要があります。その一例に、個人情報の漏洩問題などが挙げられます。
そのような背景から、95年に欧州地域では、「データ保護指令」を採択し、EU加盟国の個人情報保護における法制度を共通化しました。
そして18年からデータ保護指令に変わり、新たに「GDPR」が適用され始めました。これは、データ保護指令では、対応しきれなかった、EU域外の国に対しての個人情報の取扱義務について、法的規制を与えることを可能にしました。

1-2.GDPRの目的

GDPRは、EU域内の個人情報とプライバシー保護の強化を目的として作られました。
GDPRの目的を簡単に説明すると、「EEA内の個人や企業等全ての人が、自身で自身の個人データをコントロールする権利を保障する」ことだと考えられます。

1-3.GDPRの特徴

GDPRの概要は、以下のキーワードで抑えることができます。
『GDPRは「個人データ 」の「 処理 」と「 移転」に関する法律』
【個人データ】
自然人の氏名、所在地データ、メールアドレス、オンライン識別子
【処理】
クレジットカード情報の保存、メールアドレスの収集、顧客連絡先詳細の変更、顧客氏名の開示、上司の従業員業務評価の閲覧、データ主体のオンライン識別子の削除
【移転】
個人データを含んだ電子形式の文書を電子メールでEEA域外に送付すること

1-4.GDPRを違反した際の制裁金

GDPRに従わなかった場合、最大で企業の全世界年間売上高の4％以下、もしくは2000万ユーロ以下のいずれか高い額が適用されます。※2000万ユーロは2023年1月現在のレートで約28億151万円ほどです。
このように、GDPRに違反することで、企業は大きな痛手を負ってしまいます。そのため、違反をすることで制裁金を支払うリスクと、セキュリティ対策によってかかるコストを比較するなどの企業の経営判断が大切になってきます。

2.GDPRの影響を受ける国のリスト

2018年5月に、GDPRはWHOISへの変更を求めました。それにあたり、影響する国・地域の代表例を以下に記します。
アルバニア、アルジェリア、オーストリア、ベルギー、バミューダ、ボスニア、英領インド洋領土、ブルガリア、カメルーン、中央アフリカ共和国、コンゴ民主共和国、コンゴ共和国、コートジボワール、クロアチア、チェコ共和国、デンマーク、エチオピア、フィンランド、フランス、フランス領ギアナ、フランス領ポリネシア、フランス領極南地域、ジョージア、ドイツ、ガーナ、ギリシャ、グリーンランド、ギニア、ハンガリー、アイスランド、アイルランド、イタリア、ケニア、ルクセンブルク、マダガスカル、マルタ、モナコ、ナイジェリア、ノルウェー、ポーランド、ポルトガル、ルーマニア、ルワンダ、サモア、サントメプリンシ、セネガル、セルビア、ソロモン諸島、ソマリア、サウスジョージア、サウスサンドウィッチ諸島、スペイン、スウェーデン、スイス、タンザニア、チュニジア、ウガンダ、イギリス、バチカン市国、ジンバブエ
もっと詳しく知りたい方は以下のURLをご参照ください。

引用:GoDaddy, GDPRの影響を受ける国のリスト
https://jp.godaddy.com/help/gdpr-affected-country-list-27922

3.日本への影響

GDPRは、EUで定められた法令ですが、以下のどれかに当てはまる場合は、日本企業もGDPRの対象となります。
〇EU加盟国に子会社・支店・営業所などを保有している日本企業
〇日本からEU国に商品やサービスを提供している日本企業
〇個人データの処理について、EU加盟国から委託を受けている日本企業

4.GDPRを違反した企業例

GDPRの規則違反により、制裁金を支払った企業例として「Google」が挙げられます。
2019年1月、フランスのデータ保護当局CNILは、GoogleのGDPR違反に対し、5000万ユーロの罰金支払いを命じました。
GDPRに従わなかった場合の制裁金は、➀企業の全世界年間売上高の4％以下の制裁金、ないし➁2000万ユーロ以下の制裁金、のいずれか高い方が適用されますが、Googleの場合は「全世界年間売上高の4％以下の制裁金」の方が額が高くなるため、➀が採用されました。
この背景として、Googleでは、利用者に「個人データを利用する」ことを伝えるための説明文の閲覧が複雑化していたことで個人情報の透明性と情報の義務に違反していることが指摘されていました。
また、Google広告のパーソナライズ処理については、「ユーザーは自分が何に同意することになるのか」の説明が具体的でなく、「ユーザーは自分が何に同意することになるのか」を十分に知らされていないとの指摘もありました。
これらのことから、CNILよりGDPR違反として制裁金の支払いを命じられました。

5.日本企業の対応すべき事項

GDPRはEUの法令であるため、全ての日本企業が対応する必要はありません。しかし、GDPRの効力がおよぶEU域内に、サービスを提供したり等、EU域内の個人データを使用・管理する場合には、日本企業であっても、GDORの対象となりえます。
そこで、GDPRの対象となる日本企業が対応すべき事項を以下にてまとめました。
【データ保護責任者の設置】
GDPRへ対応する場合の大きな要件の一つが、データ保護責任者を設置することです。独立した立場で経営陣へ意見するなどし、自社の個人情報保護の状況を専門性を持って、正しく使用・保管するために設置します。
【プライバシーポリシーの作成】
プライバシーポリシーとは、個人情報の収集や利用に関する方針をまとめた文書のことです。
GDPRではプライバシーポリシーの作成が求められます。

以下がプライバシーポリシーに含めるべき事項の例です。
・個人データ
・個人データの取得目的、保存期間、利用方法
・第三者(処理者)による開示・提供・共有　　　　など。

【Cookieポリシーの作成】
GDPRではCookieも個人データであると定義されています。
そのため、自社のWebサイトに訪問してくる閲覧者からの個人情報の利用・保管の同意を取る必要があります。
以下がCoolieポリシーの事例です。
『当ウェブサイトはパーソナライズされたブラウズ体験及び、Webサイト閲覧に必要な機能の向上のため、Cookieを使用しています。
弊社のCookie利用はプライバシーポリシーに記載されているとおりです。Cookieの使用に同意しますか。 [同意する]』

6.まとめ

今回は、GDPRの意味や特徴から、GDPRの対象となる国まで紹介してきました。
GDPRは、EU領域の個人情報とプライバシー保護の強化を目的として定められた法令であり、「個人データ 」の「 処理 」と「 移転」に関する法律であることを述べてきました。
また、GDPRの対象国は膨大にあり、それらの国と取引をする際には、個人情報の取扱には注意が必要です。
株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRに対する対策法にお悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。