お問い合わせ

GDPRとは?定められている2つの内容と適用範囲を弁護士が解説!

目次

はじめに

GDPR」という言葉をご存知でしょうか。
個人情報を取り扱う事業者であれば、ご存知の方もいらっしゃると思います。

2018年にGDPRの適用が開始されたことにより、欧州に拠点のない日本の事業者に対しても適用されるケースがあります。

もっとも、GDPRがどのようなものか、また、具体的にどのようなことを定めているのか、などを知らないという事業者もいらっしゃると思います。

今回は、GDPRの全体像について、弁護士がわかりやすく解説します。

1 GDPRとは

GDPR(General Data Protection Regulation)」とは、EUにおける「一般データ保護規則」のことを指します。

GDPRには、個人データの処理に関するルールや、欧州経済領域(EEA)から第三国に個人データを移転する際に満たすべき要件などが定められています。
日本でいう「個人情報保護法」に相当するものと考えていただいて差し支えありません。

欧州では、EUを発足する際に、加盟国における個人情報の取り扱いを共通化するために、「EUデータ保護指令」を制定しました。
EU発足後、加盟国における国内市場の成長・技術革新などにより、国境を超えて個人情報のやりとりがされるようになったことを受けて、改めて個人情報の取り扱いに関するルールを見直す必要が生じたのです。

このような経緯で制定に至ったのが、GDPRです。

2 GDPRが定めている内容①:個人データの「処理」

GDPRは、欧州経済領域内で取得した個人データを対象として、その「処理」に関するルールを定めています。

個人データ」とは、欧州経済領域(EU加盟国をはじめ31ヶ国)内に所在する個人を対象として、識別された、または識別されることが可能なデータのことをいいます。
あくまで、欧州経済領域内に所在する個人が対象となっているため、居住地や国籍は関係ないことになります。

たとえば、日本から欧州経済領域内に出向している労働者の情報は、「個人データ」にあたります。

一方で、ここにいう「処理」とは、個人データや個人データの集合体を対象に行われる作業全般をいうものとされています。

たとえば、顧客情報の変更や開示はもちろんのこと、労働者の氏名や社内での職務、事業所の住所などを含むリストを作成することなども、ここでいう「処理」にあたります。

個人データを処理する場合、個人データの管理者には、以下のような義務が課されます。

(1)説明責任

管理者は、説明責任を果たすことができるように、個人データの処理に関してGDPRが定める要件を満たすとともに、それを実証できるようにしておくことが必要です。

具体的には、個人データの処理について内部で記録化・保存すること、データ保護の責任者を選任することなどが挙げられます。

(2)セキュリティ

個人データの管理について、適切なセキュリティを施すことが必要です。

個人データは重要な情報であるため、情報の消失や改ざん、無断開示などを防止するためです。

(3)本人に認められる権利の尊重

個人データに係る本人には、データにアクセスする権利やデータの訂正・削除を求める権利などが認められています。
個人データの管理者は、これらの権利を尊重し、権利行使をスムーズにできるよう体制を整備しておくことが必要です。


このほかにも、個人データの処理を行うにあたって、管理者は原則に従って処理を行う必要があります。

たとえば、個人データは、適法な目的のために収集されなければならず(目的の限定)、また、処理にあたっては、その目的との間に関連性があり、必要最小限の範囲で行われなければなりません。

また、管理する個人データについては、正確性・最新性を確保することが求められます。

3 GDPRが定めている内容②:個人データの「移転」

個人データを「移転」するとは、欧州経済領域外の第三者が、個人データの閲覧を可能とする状態にするすべての行為を指すものと考えられます。

そのため、電子メールで個人データを含む情報を送信する行為は、ここにいう「移転」にあたると考えられます。

GDPRでは、個人データを欧州経済領域外に移転することは、原則として違法とされています。

もっとも、以下の2つにあてはまる場合は、例外的に個人データを欧州経済領域外に移転することが可能です。

  • 移転先において、個人データ保護のための法整備が十分になされていること
  • 一定の保護措置を講じていること


ここでいう「一定の保護措置」とは、SCCとBCRを指しています。

SCC(Standard Contractual Clauses)」とは、GDPRが定める契約標準条項のことを指します。
個人データを移転する事業者(欧州経済領域内)と移転先となる事業者(欧州経済領域外)がSCCを締結することにより、適切な保護措置を提供しながら個人データを適法に移転することが可能です。

一方で、「BCR(Binding Corporate Rules)」とは、拘束的企業準則のことを指します。

BCRは、個人データの移転にあたり、管理者などが遵守すべき個人データ保護方針を定めたものです。
GDPRの対象となる個人データについて、十分な保護が確保されているとみなされない欧州経済領域外の国に個人データを移転する場合に、当該データに対して適切な保護を提供するための法的手段として考えられています。

楽天株式会社のBCRは、世界水準のプライバシー保護基準を満たした内部規程であるとして、日本では初めて、EUのデータ保護機関から認証を受けています。

4 GDPRの適用範囲

GDPRは、個人データの管理者が欧州経済領域外にある場合であっても、以下にあてはまる場合には適用されます。

  1. 個人データ(欧州経済領域内)の主体に対して、商品やサービスを提供する場合
  2. 個人データ(欧州経済領域内)の主体を監視する場合


現在では、越境ECのように国境を超えて商品やサービスを提供することが可能です。

そのため、日本から欧州経済領域内の者に向けて商品を販売するような場合には、上記1との関係で問題となるため、その該当性を慎重に判断することが必要です。

5 まとめ

GDPRは、欧州に拠点のない日本の企業にも適用される可能性があることに留意する必要があります。

適用対象となる場合には、さまざまな義務を課されることとなり、義務に違反した場合には制裁金を科される可能性があります。

これから海外進出を検討している事業者は、自社のサービスがGDPRの適用対象となるかを十分に検討することが大切です。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、利用規約等の作成等にも対応しております。

弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

弁護士(東京弁護士会)・中小企業診断士 GWU Law LL.M.〔IP〕/一橋大学ソーシャル・データサイエンス研究科(博士前期・2026年~) 金融規制、事業立上げ、KPI×リスク可視化を専門とする実務家×研究者のハイブリッド。

関連記事

目次