EUデータプライバシー法:GDPR、AI法、2025~2026年のデジタル改革

規則(EU)2016/679、すなわちGDPRは、EU加盟27か国すべてに単一のデータ保護基準を定めており、EU域内に所在する個人の個人データを処理する世界中のあらゆる組織を拘束する。違反した場合、第83条に基づき最大2,000万ユーロまたは全世界年間売上高の4%の制裁金が科される。
欧州連合は、世界で最も包括的なデータ保護の枠組みを構築してきた。その中核をなすのが一般データ保護規則(GDPR)であり、すべてのEU加盟国に適用される単一の規則群である。その周囲には、電子通信、人工知能、データ市場、オンラインプラットフォーム、アルゴリズム上のゲートキーパーを対象とする分野別の法律が重層的に存在する。
本ページはEUデータプライバシー法のハブページである。この枠組み全体がどのように組み合わさっているかを説明し、主要な法制度とその現状を取り上げたうえで、EU加盟国ごとおよびGDPRの各サブトピックに関する詳細なガイドへのリンクを提供する。
本稿は情報提供のみを目的とするものであり、法的助言を構成するものではない。個別の状況に応じた助言については、資格を有するデータ保護分野の弁護士またはプライバシー専門家に相談されたい。
概要
GDPRは個人データを保護するEU法である。世界のどこにあっても、EU域内に所在する個人の個人データを処理するあらゆる組織に適用される。制裁金は最大2,000万ユーロまたは全世界年間売上高の4%に達する。すべてのEU加盟国は、それぞれ自国のデータ保護当局(DPA)を通じてこれを執行しており、その調整は欧州データ保護会議(EDPB)が担っている。
GDPRは唯一のEUデータ関連法ではない。eプライバシー指令はクッキーおよび電子通信を規律する。EU AI法は人工知能システムを規律する。データ法、データガバナンス法、デジタルサービス法、デジタル市場法が合わさって、より広範なデジタル法体系を形成している。2025年のGDPR手続規則は越境的な執行を合理化するものであり、2025年のデジタル・オムニバス提案は現在、これらの複数の法制度を同時に簡素化しようとしている。
GDPR:EUにおける中核的なデータ保護法
一般データ保護規則(規則(EU)2016/679)は、2016年4月14日に採択され、2018年5月25日に発効した。この規則は、加盟国ごとに整合性を欠く法律の寄せ集めを生んでいた1995年のデータ保護指令(指令95/46/EC)に取って代わった。
GDPRは指令ではなく規則であるため、その中核的な規定について国内法への置き換えを必要とせず、すべての加盟国に直接適用される。GDPRが加盟国に裁量を留保している部分、たとえば子どものデータに関する同意年齢、雇用データに関する追加要件、特定の適用除外などについては、各国の国内実施法がその空白を埋める。

適用地域的範囲(第3条)
GDPRは三つの状況において適用される。第一に、EU域内に拠点を有する組織が、その拠点の活動に関連して個人データを処理する場合、処理が物理的にどこで行われるかにかかわらず適用される。第二に、EU域外の組織がEU域内の個人に物品またはサービスを提供する場合に適用される。第三に、EU域外の組織がEU域内の個人の行動を監視する場合に適用される。
この広範な域外適用は、米国、インド、オーストラリアの企業であっても、EU域内の顧客を対象とし、またはオンライン上でその行動を追跡する場合には、GDPRを遵守しなければならないことを意味する。EDPBガイドライン3/2018(適用地域的範囲について)は、第3条について詳細な解釈を示している。
7つの原則(第5条)
すべての処理活動は、次の7つの原則を遵守しなければならない。すなわち、適法性、公正性、透明性、目的制限、データ最小化、正確性、保存制限、完全性および機密性、そして説明責任である。説明責任の原則は、組織に対し、遵守を単に主張するだけでなく、それを証明することを求める。
処理のための6つの適法根拠(第6条)
処理が適法であるのは、同意、契約の履行、法的義務、生命に関わる利益、公共の利益または公的権限の行使、正当な利益という6つの適法根拠のいずれかに基づく場合に限られる。組織は処理を開始する前に適法根拠を特定し文書化しなければならず、後になってそれを遡って変更することはできない。
同意は、自由な意思に基づき、特定の目的に関して、十分な情報を得たうえで、不明確でない形で与えられなければならない。同意の撤回は、同意の付与と同じくらい容易でなければならない。あらかじめチェックが入ったボックスや、複数の目的をまとめた同意は、GDPRの同意基準を満たさない。
データ主体の権利(第15条から第22条)
GDPRは個人に対し、行使可能な8つの権利を認めている。アクセス権、訂正権、消去権(「忘れられる権利」)、処理の制限を求める権利、データポータビリティの権利、異議を述べる権利、そしてプロファイリングを含む自動化された意思決定に関する権利である。組織はこれらの請求に対し、1暦月以内に対応しなければならず、複雑な事案では2か月の延長が認められる。
管理者および処理者の義務
データ管理者は処理の目的および方法を決定する。データ処理者は管理者の指示に基づいて行動する。管理者と処理者のすべての関係は、書面による契約によって規律されなければならない。管理者は、所定の場合にデータ保護責任者(DPO)を選任し、ハイリスクな処理の前にデータ保護影響評価(DPIA)を実施し、処理活動の記録を維持しなければならない。
侵害通知(第33条から第34条)
管理者は、個人データ侵害を認知してから72時間以内に、所管の監督機関に通知しなければならない。当該侵害が個人に対して高いリスクをもたらす場合、管理者は不当な遅滞なく、影響を受ける個人にも通知しなければならない。
制裁金(第83条)
GDPRの2段階の制裁金体系は、下位階層で最大1,000万ユーロまたは全世界年間売上高の2%、上位階層で最大2,000万ユーロまたは全世界年間売上高の4%(いずれもそれぞれ高い方)の制裁金を定めている。2018年5月以降、EU域内のデータ保護当局は2,700件を超える執行措置を通じて、合計68億ユーロを超える制裁金を科してきた。
各トピックの詳細については、下記に一覧するGDPRのサブページを参照されたい。
27の加盟国におけるGDPR
GDPRはすべてのEU加盟国において同一の法律であるが、各国の国内実施法、国内のデータ保護当局、および国内裁判所の判断が、実務上の運用のあり方を形作っている。

国内実施法は、GDPRが加盟国に裁量を留保している事項を扱う。ドイツの連邦データ保護法(BDSG)は、従業員の監視や事業所委員会について厳格な規則を定めている。フランスの情報処理・自由に関する法律(loi Informatique et Libertés)は1978年から施行されており、GDPRとの調和を図るために改正された。アイルランドの2018年データ保護法は、子どもの同意に関する最低年齢を16歳と定めている。すべての加盟国が、それぞれ独自の補足規則を有している。
各国のデータ保護当局は、苦情の調査、監査の実施、制裁金の賦課を行う。アイルランドのデータ保護委員会(DPC)は、米国の主要テクノロジー企業の多くにとって主管データ保護当局となっている。これらの企業のEU本部がアイルランドに置かれているためである。アイルランドのDPCは、ワンストップショップの仕組みを通じて、GDPRの制裁金として総額約40億ユーロを科しており、金額ベースで加盟国の中で最大の割合を占めている。
ワンストップショップの仕組みにより、複数の加盟国に拠点を有する組織は、越境的な処理について単一の主管データ保護当局とやり取りすればよいことになる。他の加盟国の関係するデータ保護当局は異議を提起することができ、争いはEDPBに持ち込まれて拘束力のある決定が下される。後述のGDPR手続規則は、2027年4月から拘束力のある期限を設けることで、この仕組みを強化する。
下記の加盟国別ガイドでは、当サイトにおけるEU各国の実施法およびデータ保護当局のページへのリンクを提供している。
eプライバシー指令と撤回されたeプライバシー規則案
eプライバシー指令(指令2002/58/EC)は、電子通信におけるプライバシーを規律する。EUのクッキー同意ルールの根拠となっている法律である。同指令第5条(3)項は、利用者の端末に情報を保存し、またはそこにアクセスする前に同意を得ることを求めており、これがヨーロッパのほぼすべてのウェブサイトに表示されるクッキーバナーの根拠となっているルールである。
eプライバシー指令は規則ではなく指令であるため、各加盟国はそれぞれ異なる形で国内法に置き換えてきた。ドイツ、フランス、スペインなどは、それぞれの国内法上、何が有効なクッキー同意に当たるかについて異なる結論に至っている。
eプライバシー規則案は2017年1月に提出された。この提案は、eプライバシー指令を直接適用可能な規則に置き換え、クッキーおよび通信プライバシーに関するルールをGDPRとより一層整合させることを意図したものであった。この提案は理事会において何年も停滞し、データ保存や正当な利益に基づく処理について合意に至ることができなかった。
2025年2月11日、欧州委員会は2025年の作業計画において、eプライバシー規則案を正式に撤回した。欧州委員会は、共同立法者からの合意が見込めないこと、および後続の立法に照らして提案がすでに時代遅れとなっていることを理由として挙げた。したがって、現行のeプライバシー指令および各国の国内実施法は、今後も無期限に施行され続けることになる。
2025年11月のデジタル・オムニバス提案は、この未解決の課題の一部を引き継ぐものであり、クッキー同意ルールをeプライバシー指令からGDPRへ移すこと、および同意なしに実施できる処理活動のリストを拡大することを提案している。現行ルールの詳細については、eプライバシー指令の解説記事を参照されたい。
EU AI法(規則(EU)2024/1689)
EU AI法は、人工知能に関する世界初の包括的な規制枠組みである。2024年7月12日にEU官報に公布され、2024年8月1日に発効した。
AI法はリスクベースのアプローチを採用しており、AIシステムを、許容できないリスク(全面的に禁止)、ハイリスク(厳格なコンプライアンス義務)、限定的リスク(透明性に関する要件)、最小限のリスク(義務なし)の4段階に区分している。個人データを処理するAIシステムは、多くの場合AI法とGDPRの双方に同時に服することになる。

段階的な実施スケジュール
AI法は段階的に適用される。
- 2025年2月2日 禁止AI慣行およびAIリテラシー義務が適用開始となった。サブリミナルな操作、公的機関によるソーシャルスコアリング、公共空間における大半のリアルタイム生体識別を用いるシステムは、この日から禁止される。
- 2025年8月2日 汎用AI(GPAI)モデルの提供者に対する義務が適用開始となった。加盟国は国内の所管当局を指定し、国内の制裁金に関する法律を採択しなければならない。EUレベルのガバナンス機関(AI理事会、科学パネル、諮問フォーラム)が稼働している。
- 2026年12月2日 透明性およびAI生成コンテンツのラベル付けに関する義務が適用される(2026年5月のデジタル・オムニバスに関する政治的合意により、2026年8月2日から延期された日付)。同意のない親密な画像を生成するAIシステムに対する新たな禁止事項も、この日から適用される。
- 2027年12月2日 附属書IIIに列挙された独立型ハイリスクAIシステムのコンプライアンス期限(デジタル・オムニバスに関する政治的合意により、2026年8月2日から延期された)。
- 2028年8月2日 附属書Iに列挙された規制製品に組み込まれたハイリスクAIのコンプライアンス期限。
デジタル・オムニバスによるAI法の簡素化(2026年5月)
2026年5月7日、欧州議会と理事会は、デジタル・オムニバスのもとでAI法を改正する暫定的な政治的合意に達した。上記のスケジュール変更に加え、この合意は、中小企業向けの規制上の適用除外を小規模中堅企業(スモール・ミッドキャップ)にも拡大し、一部のハイリスク区分を狭め、AI事務局の監督権限を強化するものである。正式な採択は2026年8月2日までに行われる見込みである。
GDPR手続規則(規則(EU)2025/2518)
長年にわたり、GDPRのワンストップショップの仕組みは手続上の不整合に悩まされてきた。各データ保護当局は異なる受理基準を適用し、調査は拘束力のある期限のないまま何年も続き、規模の小さい加盟国の申立人は自らの越境事案について限られた情報しか得られなかった。
GDPR手続規則(規則(EU)2025/2518)は、これらの問題を是正するために2025年に採択された。2026年1月1日に発効し、2027年4月2日から適用される。
主な規定は次のとおりである。
- 統一された受理基準:苦情がどの加盟国に提出されたかにかかわらず、受理の可否を判断する際に同一の基準が適用される。
- 拘束力のある15か月の調査期限:主管データ保護当局は15か月以内に調査を完了しなければならず、特に複雑な事案では12か月の延長が認められる場合がある。
- 早期解決の仕組み:主管データ保護当局は、正式な協力手続が開始される前に苦情を解決することができ、事務負担を軽減し、結論を早めることができる。
- 手続上の権利の強化:調査対象者および申立人はいずれも、最終決定が下される前に、予備的な認定事項にアクセスし、意見を述べる権利を有する。
2025年11月のデジタル・オムニバス提案
2025年11月19日、欧州委員会は、データ連合戦略や欧州ビジネスウォレットとともに、デジタル・パッケージの一環としてデジタル・オムニバスを公表した。デジタル・オムニバスは、GDPR、AI法、eプライバシー指令、データ法、サイバーセキュリティ法など、複数の既存のデジタル関連法を簡素化し改正しようとする単一の立法提案である。
GDPRに関連する主な提案は次のとおりである。
- クッキー同意の簡素化:クッキー同意ルールをeプライバシー指令からGDPRへ移し、同意を不要とする活動のリストを拡大するとともに、6か月間有効なワンクリックの同意設定、またはブラウザ・端末レベルで保存された同意を可能にする。
- DPIAリストの調和:EDPBが、DPIAを要する処理活動と要しない処理活動についてEU全体のリストを作成する。欧州委員会が承認したリストは、これと抵触する各国のリストに優先する。
- 単一のインシデント報告窓口:GDPR、NIS2指令、その他の法制度に基づくサイバーセキュリティインシデントおよび個人データ侵害の報告について、統一された仕組みを設ける。
デジタル・オムニバスは、2026年半ば時点で、欧州委員会、欧州議会、理事会の間でトリローグ(三者間協議)が行われている。採択された場合、GDPRの改正は規則(EU)2016/679を正式に更新することになる。
EDPBと一貫性の仕組み
欧州データ保護会議(EDPB)は、すべての加盟国においてGDPRが一貫して適用されるようにする責任を負う、独立したEU機関である。各国のデータ保護当局の長および欧州データ保護監督機関(EDPS)によって構成される。
その主な機能には、ガイドライン、勧告、ベストプラクティスの公表、ワンストップショップの仕組みのもとでの紛争における拘束力のある決定の発出、そして協調執行枠組み(CEF)のもとでの協調的な執行措置の実施が含まれる。
EDPSは、EU自身の諸機関による個人データの取り扱いを監督し、データ保護に関わる側面を有するEU立法について助言を行う。
一貫性の仕組み:ある加盟国のデータ保護当局が、他の加盟国のデータ主体に影響を及ぼしうる措置を採用しようとする場合、その決定案をEDPBに提出しなければならない。関係するデータ保護当局が関連性があり理由の付された異議を提起し、主管データ保護当局がこれに従わない場合、EDPBが拘束力のある決定を発出する。この仕組みにより、2023年にMetaに対して科された12億ユーロの制裁金(これまでで最大のGDPR制裁金)が生まれた。この際、EDPBはアイルランドのDPCが提案していたより低い制裁金額を覆した。
2026年の協調執行:EDPBの2026年のCEF措置は、GDPRの透明性および情報提供義務に焦点を当てている。すべての国内データ保護当局が、同一のテーマについて並行して調査を実施している。2025年のCEFは消去権に焦点を当てていた。
より広範なEUデジタル法体系
GDPRは基盤であるが、EUのデータ関連法はそれをはるかに超えて広がっている。複数の補完的な法制度が、特定の分野やデータ活動の種類を対象としている。
データガバナンス法(DGA) 規則(EU)2022/868、2023年9月から適用。DGAは、企業間、および官民の間での自発的なデータ共有のための信頼の枠組みを構築する。認定データ仲介者を創設し、データ利他主義団体を認可する。個人データが関わる場合には、GDPRが並行して適用される。
データ法 規則(EU)2023/2854、2025年9月12日から適用。データ法は、コネクテッド製品(スマートデバイス、産業機械、車両など)の利用者に対し、その使用によって生成されるデータへのアクセス権および共有権を認めている。企業間および企業・政府間のデータ共有を規律する。個人データが関わる場合、GDPRが並行して適用される。
デジタルサービス法(DSA) 規則(EU)2022/2065。DSAは、オンライン仲介事業者およびプラットフォームを規律し、コンテンツモデレーション、透明性、研究者によるデータアクセスに関する義務を課している。超大規模オンラインプラットフォーム(VLOP)および超大規模オンライン検索エンジン(VLOSE)には追加の義務が課される。2025年7月2日、欧州委員会は、資格を有する研究者がシステミックリスクを調査するためにVLOPの内部データにアクセスできるようにする委任法を公表した。
デジタル市場法(DMA) 規則(EU)2022/1925。DMAは、「ゲートキーパー」プラットフォーム(Google、Meta、Apple、Amazon、Microsoft、ByteDance)を対象として、相互運用性、データポータビリティ、同意に関する義務を課している。2025年4月、欧州委員会は初の不遵守決定を下した。Appleは、App Storeにおける誘導制限を理由に5億ユーロを、Metaは、データ利用を抑えた代替サービスを利用者に提供しなかったことを理由に2億ユーロを、それぞれ科された。
NIS2指令 指令(EU)2022/2555。NIS2は、基幹サービスの事業者およびデジタルサービス提供者に対し、サイバーセキュリティおよびインシデント報告に関する義務を課している。サイバーセキュリティインシデントでもあるデータ侵害は、GDPRとNIS2の双方の通知義務を発動させる場合があり、この複雑さを解消しようとするのが、デジタル・オムニバスの単一報告窓口の提案である。
十分性認定と国際的なデータ移転
EUから第三国への個人データの移転は、GDPR第V章によって規律される。欧州委員会による十分性認定を受けると、追加の保護措置なしに移転先へ自由にデータを流通させることができる。
2026年5月時点で、十分性認定の対象となっているのは、アンドラ、アルゼンチン、ブラジル(2026年)、カナダ(商業組織)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、大韓民国、スイス、英国、米国(EU・米国データプライバシーフレームワークの認証を受けた組織)、ウルグアイ、および欧州特許機構(2025年)である。
EU・米国データプライバシーフレームワーク(DPF):欧州委員会は2023年7月10日にDPFの十分性認定を採択し、無効とされたプライバシーシールドに代わるものとした。この枠組みは、情報機関によるアクセスを制限する米国政府の確約、および救済の仕組みとしてのデータ保護審査裁判所(DPRC)に依拠している。2026年初頭時点で、2,800を超える組織が有効なDPF認証を保持している。EU一般裁判所は2025年9月3日、これに対する法的異議申立てを棄却したが(T-553/23号事件)、EU司法裁判所(CJEU)へのさらなる上訴(C-703/25 P号事件、2025年10月31日提起)が係属中である。
十分性認定が存在しない場合、移転には標準契約条項(SCC、2021年6月に改訂)、拘束的企業準則(BCR)、または特定の適用除外を用いることができる。SCCを用いる組織は、移転影響評価(TIA)もあわせて実施しなければならない。
当サイトのGDPR関連サブページ
以下のページでは、GDPRの主要なトピックをそれぞれ詳細に取り上げている。
- GDPRとは何か:EUデータ保護の完全ガイド
- GDPR同意要件:何が有効な同意とされるか
- GDPRデータ主体の権利:アクセス、消去、ポータビリティ
- GDPR侵害通知:72時間ルールの解説
- GDPRの制裁金と罰則:一覧と解説
- 企業向けGDPRコンプライアンス・チェックリスト
- 中小企業のためのGDPR:簡略版コンプライアンスガイド
- EUクッキー法(eプライバシー指令)の解説
EU加盟国別ガイド
すべてのEU加盟国は、独自の国内実施法および独立したデータ保護当局を有している。以下のページでは、各国においてGDPRがどのように適用されるか、国内法が何を追加しているか、そして各国のデータ保護当局がどのようにこれを執行しているかを解説している。
- オーストリアのデータプライバシー法(DSG)
- ベルギーのデータプライバシー法
- ブルガリアのデータプライバシー法
- クロアチアのデータプライバシー法
- キプロスのデータプライバシー法
- チェコのデータプライバシー法
- デンマークのデータプライバシー法
- エストニアのデータプライバシー法
- フィンランドのデータプライバシー法
- フランスのデータプライバシー法(CNIL)
- ドイツのデータプライバシー法(BDSG)
- ギリシャのデータプライバシー法(HDPA)
- ハンガリーのデータプライバシー法(NAIH)
- アイルランドのデータプライバシー法(DPC)
- イタリアのデータプライバシー法(Garante)
- ラトビアのデータプライバシー法
- リトアニアのデータプライバシー法(VDAI)
- ルクセンブルクのデータプライバシー法(CNPD)
- マルタのデータプライバシー法
- オランダのデータプライバシー法(AP)
- ポーランドのデータプライバシー法(UODO)
- ポルトガルのデータプライバシー法(CNPD)
- ルーマニアのデータプライバシー法(ANSPDCP)
- スロバキアのデータプライバシー法
- スロベニアのデータプライバシー法
- スペインのデータプライバシー法(AEPD/LOPDGDD)
- スウェーデンのデータプライバシー法(IMY)
EEA協定を通じてGDPRを適用しているEEA非EU加盟国:
より詳しいガイド
Frequently Asked Questions
GDPRは欧州連合域外の企業にも適用されるか。
適用される。GDPRは、EU域内の個人に物品またはサービスを提供する、あるいはEU域内に所在する人々の行動を監視する、世界中のあらゆる組織に適用される。企業がGDPRの対象となるために、欧州域内に物理的な拠点を有する必要はない。第3条がこの広範な適用地域的範囲を定めており、EDPBのガイドライン3/2018(適用地域的範囲について)が、これがEU域外の組織にどのように適用されるかを明確にしている。
GDPRのもとでの最高制裁金額はいくらか。
最高制裁金額は、2,000万ユーロまたは組織の直前会計年度における全世界年間売上高の4%のいずれか高い方である。この上位階層の制裁金は、中核的な処理原則、データ主体の権利、国際的なデータ移転ルールへの違反に適用される。これまでで最大の個別の制裁金は、アイルランドのデータ保護委員会が2023年にMetaに科した12億ユーロであり、EU利用者データの米国への違法な移転を理由とするものであった。
eプライバシー規則は今後施行される見込みがあるか。
その見込みはない。欧州委員会は2025年2月、2025年の作業計画の一環として、eプライバシー規則案を正式に撤回した。この提案は2017年以来停滞していた。既存のeプライバシー指令(2002/58/EC)およびその国内実施法は引き続き施行されている。eプライバシーに関する一部の課題は、2025年11月のデジタル・オムニバス提案を通じて対応が図られており、同提案はクッキー同意ルールをGDPRの枠組みに移すことを提案している。
GDPR手続規則とは何か。
規則(EU)2025/2518は、ワンストップショップの仕組みのもとでの越境的なGDPR執行を合理化する新たなEU規則である。2026年1月1日に発効し、2027年4月2日から適用される。拘束力のある15か月の調査期限、すべての加盟国において統一された苦情の受理基準、早期解決の仕組み、そして当事者および申立人のための手続上の権利の強化を導入している。
EUデジタル・オムニバスとは何か。GDPRにどのような影響を及ぼすか。
デジタル・オムニバスは、2025年11月19日にデジタル・パッケージの一環として公表された欧州委員会の提案である。GDPRに関しては、主な提案として、クッキー同意ルールをeプライバシー指令からGDPRへ移すこと、EUレベルでDPIA要件のリストを調和させること、データ侵害およびサイバーセキュリティインシデントに関する単一の報告窓口を設けることが含まれる。オムニバスはまた、AI法のスケジュール延長、および中小企業・小規模中堅企業向けの簡素化措置も提案している。2026年半ば時点でトリローグが進行中である。
追加の保護措置なしにEUの個人データを受け取ることができる国はどこか。
2026年5月時点で、欧州委員会は次の移転先に対して十分性認定を付与している。アンドラ、アルゼンチン、ブラジル、カナダ(商業組織)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、大韓民国、スイス、英国、米国(EU・米国データプライバシーフレームワークの認証を受けた組織)、ウルグアイ、および欧州特許機構である。個人データは、標準契約条項その他の追加的な仕組みなしに、これらの移転先へ流通させることができる。
EU AI法はGDPRとどのように関係するか。
EU AI法とGDPRは、個人データを処理するAIシステムに対して同時に適用される。AI法は、AIの提供者および導入者に対し、リスク分類、透明性、ログ記録、適合性評価に関する義務を課している。AIシステムが個人データを処理する場合には、適法根拠、データ最小化、目的制限、そしてハイリスクな処理についてのDPIAといったGDPR上の要件もあわせて適用される。EDPBおよび欧州委員会は、2026年の採択に向けて、両制度の相互関係に関する共同ガイドラインを策定中である。
Sources and References
- GDPR全文、規則(EU)2016/679(eur-lex.europa.eu).gov
- 欧州委員会、EUにおけるデータ保護(commission.europa.eu).gov
- EDPBガイドライン3/2018、適用地域的範囲について(第3条)(edpb.europa.eu).gov
- EDPBガイドライン1/2024、正当な利益について(edpb.europa.eu).gov
- 欧州委員会、国際データ移転に関する十分性認定(commission.europa.eu).gov
- EU・米国データプライバシーフレームワークに関する十分性認定(2023年7月)(ec.europa.eu).gov
- 欧州データ保護会議(EDPB)(edpb.europa.eu).gov
- EDPB、Facebookに対する12億ユーロの制裁金(拘束力のある決定)(edpb.europa.eu).gov
- EDPB CEF 2026、透明性に関する協調執行(edpb.europa.eu).gov
- GDPR執行トラッカー、制裁金・罰則データベース(enforcementtracker.com)
- eプライバシー指令2002/58/EC、全文(eur-lex.europa.eu).gov
- EU AI法、規則(EU)2024/1689全文(eur-lex.europa.eu).gov
- EU AI法、欧州委員会デジタル戦略(digital-strategy.ec.europa.eu).gov
- EU理事会、AI法簡素化に関する政治的合意(2026年5月)(consilium.europa.eu).gov
- EUデジタル・パッケージ、欧州委員会による概要(digital-strategy.ec.europa.eu).gov
- EUデータ法、規則(EU)2023/2854(digital-strategy.ec.europa.eu).gov
- データガバナンス法、規則(EU)2022/868(digital-strategy.ec.europa.eu).gov
- デジタルサービス法、欧州委員会(commission.europa.eu).gov
- デジタル市場法、欧州委員会(commission.europa.eu).gov