GDPRとは？個人情報保護法と比較して分かりやすく解説！

2000年頃からインターネットが普及し、「GDPR」という法律が注目され始めました。
GDPRとはEUで発足した、EU領域内に住む人々の個人データを保護する目的で制定された法律です。これに対し、日本にはGDPRと似た法律に「個人情報保護法」があります。
本記事では「GDPR」と、「個人情報保護法」を比較して、両制度の違いや関係性を解説していきます。

1.GDPRと個人情報保護法の違い

「GDPR」と「個人情報保護法」はどちらも個人情報を保護する法律です。両制度の異なる点は、GDPRがEUで定められた法律であり、日本の個人情報保護法よりも厳しいルールが定められている、という点となります。

1.1EUの「GDPR」とは？

まず、EUのGDPRとは、日本語で「一般データ保護規則」と訳すことができます。
具体的にGDPRは、EU（イタリア・オランダ・ドイツ・フランス等の欧州連合）に居住する人々の個人情報の収集と、その処理に関するガイドラインを定めた法律枠組みです。

GDPRは、主に以下のような企業が対象となります。
・EU域内に拠点を持ち、EU向けにビジネスを行う企業 ※EU外に拠点があっても対象内
・EUから個人データの処理について委託を受けている企業 ※EU外に拠点があっても対象内

また、GDPRではオプトインと呼ばれる、 個人情報の提供について肯定的な承認をする考えが採用されているため、個人データの収集にはデータ利用の承諾を得る必要があります。

3つのキーワード

GDPRの概要は、以下のキーワードでざっくりと抑えることができます。

『GDPRは「個人データ 」の「 処理 」と「 移転」に関する法律』

【個人データ】
・自然人の氏名
・所在地データ
・メールアドレス
・オンライン識別子（IPアドレス、クッキー識別子など）

【処理】
・クレジットカード情報の保存
・メールアドレスの収集
・顧客連絡先詳細の変更
・顧客氏名の開示
・上司の従業員業務評価の閲覧　
・データ主体のオンライン識別子の削除

【移転】
・個人データを含んだ電子形式の文書を電子メールでEEA域外に送付すること

1.2日本の個人情報保護法とは？

次に、日本の個人情報保護法では、日本の企業や個人事業主など、個人情報取扱業者に対して定められた内容となります。
具体的に、氏名や住所を始め個人を特定できる情報のみを対象としています。

個人情報保護法では、氏名や住所のような情報を基本とし、2022年の個人情報保護法改正により、サードパーティCookie等も個人データと定義されています。しかし一方で電話番号・IPアドレス等は個人情報としては位置付けられていないのが現状です。

2.日本でもGDPRが適用されることがある！？

基本的にGDPRはEU領域内の人々に適用される法律ですが、以下のような例外も存在します。

・短期出張や短期旅行でEU内にいる外国人の個人情報を、EU領域外の第三国（日本など）に移転する場合。
・外国企業（日本など）からEU内に出向した従業員の情報を保有する場合。

また、EU領域内に国籍がなかったり短期間しかいなかったりした人の個人情報も保護対象になるケースもあります。つまり場合によっては日本企業もGDPRの対応をする必要があるのです。

3.GDPR・個人情報保護法に違反した際の罰則の違い

以下では、GDPR・個人情報保護法に違反した際の罰則を比較していきます。

【GDPRに違反した際の罰則】
保護対象は「IPアドレスやCookie等の個人を特定できる氏名や住所の情報」であり、個人データ侵害時の対応は「72時間以内に管軸監督機関に通知」することです。
また、EU域内の代理人の有無は「GDPRの適用があるEU域内に拠点のない事業者は原則として必要」とされており、違反時の罰則は「1,000万ユーロ以下または、企業の場合には全事業年度の全世界年間売上高の2%以下のいずれか高い方」となります。

【個人情報保護法に違反した際の罰則】
保護の対象は「個人を特定できる氏名や情報」であり、個人データ侵害時の対応は「個人情報保護委員会へ報告」することです。
また、EU域内の代理人は「規定なし」とされており、違反時の罰則は「個人の場合は1年以下の懲役または100万円以下の罰金、法人の場合は1億円以下の罰金」となります。

4.GDPRの要求事項を満たすためには？

GDPRでは、適切に個人データ保護を行うことが求められています。そこで、GDPRの要求事項を満たすために必要とされる「データ保護責任者の設置」、「プライバシーポリシーの作成」、「Cookieポリシーの作成」の3つの事項を挙げていきます。

4.1データ保護責任者の設置

GDPRへ対応する場合の大きな要件の一つが、DPO（データ保護責任者）を設置することです。DPOはデータ管理者またはデータ処理者に指名が義務付けられる専門職として、独立した立場で経営陣へ意見することなどの権限が有されています。

【DPO指名の目的】
GDPRがDPOの設置を要求する目的は、GDPRの運用・データ漏えいなど、有事対応の責任者を明確にするためです。よってDPOを指名することが求められます。

【DPOの責務】
・個人データを取り扱う従業員等へGDPR等による義務の通知
・GDPR等に関する組織方針の遵守状況のモニタリングの実施
・個人データを取り扱う従業員への訓練や監査等の実施
・データ保護影響評価（DPIA）の実施に関する助言と実施状況のモニタリング
・取り扱いに関する問題について監督機関との窓口を担うこと

4.2プライバシーポリシーの作成

GDPRではプライバシーポリシーの作成が求められます。

以下がプライバシーポリシーに含めるべき事項です。
・取得する個人データ情報
・個人データの取得目的、保存期間、利用方法
・第三者(処理者)による開示・提供・共有
・セキュリティ施策
・クッキー等の取扱い
・ポリシーの変更手続き・連絡
・個人情報の開示、訂正、削除、追加、利用停止、消去
・他のウェブサイトへのリンク
・他地域へのデータ転送
・連絡窓口
・制定、改訂日

4.3Cookieポリシーの作成

GDPRではWebサイトでのCookieも個人データであると定義されており、Webサイト閲覧者からのCookie取得の同意を得る仕組みを構築することが求められます。

以下がCoolieポリシーの事例です。
『当ウェブサイトはパーソナライズされたブラウズ体験及び、Webサイト閲覧に必要な機能の向上のため、Cookieを使用しています。
弊社のCookie利用はプライバシーポリシーに記載されているとおりです。Cookieの使用に同意しますか。 [同意する]』

5.まとめ

今回は、GDPRと個人情報保護法を比較して、両制度の違いや関係性を解説してきました。

「GDPR」と「個人情報保護法」はどちらも個人情報を保護する法律であり、両制度の異なる点は、GDPRがEUで定められた法律であり、日本の個人情報保護法よりも厳しいルールが定められている、ということでした。また、個人保護を目的とした法律に違反した際の罰則は、かなりの痛手となります。

「GDPR」 は EU 域内の企業だけでなく、欧州市民向けに商品とサービスを提供している世界中の企業にも適用されます。

株式会社UPF（ユーピーエフ）は、業界に関係なく、お客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRに対する対策にお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。