GDPRコンプライアンスチェックリスト2026年版:ステップバイステップガイド

規則(EU)2016/679に基づくGDPRコンプライアンスは、データマッピングおよび適法根拠の特定から、侵害対応、継続的な職員研修に至るまで、相互に連動する14の分野にわたる文書化された対応を組織に要求する。第5条(2)のアカウンタビリティ原則は、管理者にいつでもコンプライアンスを証明することを要求しており、体系的でエビデンスに基づくアプローチが基本的な義務となる。
GDPRコンプライアンスは一度限りのプロジェクトではない。一般データ保護規則(規則(EU)2016/679)はコンプライアンスの文書化されたエビデンスを要求しており、処理活動へのあらゆる変更が新たな義務を発生させ得る。本チェックリストは、関連するGDPR条文、EDPBの公式ガイダンス、そして最も重要な最近の動向への参照とともに、すべての中核的なコンプライアンス分野を扱う。
本情報は2026年5月19日時点で最終確認されている。本記事は一般的な法律情報を提供するものであり、法的助言を構成しない。貴組織に特有のガイダンスについては、資格を有するデータ保護弁護士またはプライバシー専門家に相談されたい。
法域の範囲: 本チェックリストは、EUおよびEEA加盟国において適用されるEU一般データ保護規則(規則(EU)2016/679)への遵守を扱う。ブレグジット後にEU GDPRから乖離した英国GDPR、または各国の国内実施法は扱わない。比較についてはGDPR対英国GDPRを参照されたい。規則の基礎的な概要についてはGDPRとは何かを参照されたい。
GDPRコンプライアンスチェックリート:概要
GDPRコンプライアンスは、相互に連動する14の分野にわたる対応を要求する。以下の各セクションでそれぞれを順に扱う。データマッピングから始めること。他のすべてのステップは、貴組織がどのようなデータを何のために保持しているかを把握することに依存するためである。
| ステップ | コンプライアンス分野 | 主要条文 | 優先度 |
|---|---|---|---|
| 1 | データマッピングと処理記録 | 第30条 | 基盤 |
| 2 | 適法根拠の特定 | 第6条 | 重要 |
| 3 | プライバシー通知と透明性 | 第12条、第13条、第14条 | 重要 |
| 4 | 同意管理 | 第7条、第8条 | 同意が適法根拠である場合 |
| 5 | データ主体の権利手続 | 第15条から第22条 | 重要 |
| 6 | DPOの任命 | 第37条から第39条 | 必要な場合 |
| 7 | データ保護影響評価 | 第35条 | 高リスク処理の前 |
| 8 | 処理者契約(DPA) | 第28条 | 重要 |
| 9 | セキュリティ措置 | 第32条 | 重要 |
| 10 | 侵害対応計画 | 第33条、第34条 | 重要 |
| 11 | 国際移転の保護措置 | 第5章 | データがEU/EEA域外に出る場合 |
| 12 | 設計及び初期設定によるデータ保護 | 第25条 | 継続的 |
| 13 | 職員研修とアカウンタビリティ | 第39条(1)(b) | 継続的 |
| 14 | ベンダー管理と継続的見直し | 第24条、第28条 | 継続的 |
ステップ1:データマッピングと処理活動記録(第30条)
貴組織がGDPRを遵守できるようになる前に、まずどのような個人データを収集しているか、そのデータがどこから来て、どこへ行き、なぜ処理されるのかを把握しなければならない。データマッピングは、他のすべてのコンプライアンス活動の基盤である。第30条は、この知識を処理活動記録(RoPA)という書面の形で公式化することを要求している。
データ棚卸しに記録すべき事項
各処理活動について、以下を記録する。
- 個人データのカテゴリー(氏名、メールアドレス、IPアドレス、健康データ、財務記録、生体データ)
- データ主体のカテゴリー(顧客、従業員、ウェブサイト訪問者、求職者)
- 各処理活動の目的
- 処理の法的根拠(ステップ2を参照)
- 保存場所およびシステム
- アクセス権を有する者(社内の役職および社外の受領者)
- 保持期間またはそれを決定する基準
- データがEU/EEAを離れるかどうか、離れる場合はどの移転メカニズムによるか
第30条(1)の下で管理者が記録すべき事項
第30条(1)は、管理者に対し、以下を含む書面による記録を維持することを要求している。
- 管理者の名称および連絡先詳細(該当する場合はDPOの連絡先詳細も)
- 処理の目的
- データ主体および個人データのカテゴリー
- 第三国を含む受領者のカテゴリー
- 国際移転の詳細および法的メカニズム
- 想定される保持期間
- 技術的および組織的セキュリティ措置の概要
処理者は、第30条(2)の下で並行した義務を負う。各管理者に代わって行われる処理のカテゴリーを記録しなければならない。
中小企業適用除外と提案されているデジタル・オムニバス改正
第30条(5)は現在、従業員250名未満の組織について、処理が個人へのリスクをもたらす可能性が低く、随時的なものにとどまり、特別カテゴリーデータを含まない場合に限り、完全なRoPAの維持義務を免除している。実務上、ほとんどの組織は十分な頻度でデータを処理しているため、この適用除外が完全に適用される場合はまれである。
2025年11月のデジタル・オムニバス提案は、同一の高リスク適用除外を条件としつつ、この閾値を従業員750名未満(財務基準を伴う)に引き上げるとしている。EDPBおよびEDPS(欧州データ保護監督官)は、共同意見2/2026において、簡素化の目的を歓迎する一方、明確性のためこの適用除外を法定の中小企業(SME)およびSMC定義と結びつけることを勧告した。この提案は、本記事の執筆時点では発効していない。

ステップ2:各処理活動の適法根拠を特定する(第6条)
GDPR第6条は、すべての処理活動が6つの適法根拠のいずれか1つに基づくことを要求している。根拠は処理が開始される前に特定されなければならない。後から根拠を切り替えることは認められない。
6つの適法根拠
| 適法根拠 | 適用される場合 | 主な要件 |
|---|---|---|
| 同意(第6条(1)(a)) | 個人が自発的に同意する | 自由に与えられ、特定的で、情報に基づき、明確であること。いつでも撤回可能であること |
| 契約(第6条(1)(b)) | 個人との契約を履行するために処理が必要な場合 | 単に便利であるだけでなく必要でなければならない |
| 法的義務(第6条(1)(c)) | EUまたは加盟国法により処理が要求される場合 | 具体的な法的要件を特定しなければならない |
| 重要な利益(第6条(1)(d)) | 誰かの生命を保護するために処理が必要な場合 | 限定的であり、日常的に用いることはできない |
| 公共の任務(第6条(1)(e)) | 公共の利益のための任務のために処理が必要な場合 | 通常は公的機関 |
| 正当な利益(第6条(1)(f)) | 管理者または第三者の正当な利益のために処理が必要な場合 | 文書化された比較衡量テストが必要 |
第9条に基づく特別カテゴリーのデータ(健康、生体、遺伝、人種的・民族的出自、政治的意見、宗教的信条、労働組合員資格、犯罪歴)については、第6条の適法根拠と、別個の第9条上の条件の双方が必要である。
多くの組織は、正当な利益や契約上の必要性の方が適切である場合であっても、デフォルトで同意を選択してしまう。同意は、追跡、撤回メカニズム、そして場合によっては再同意を含む継続的な管理義務を生じさせる。詳細なガイダンスについては、GDPR同意要件を参照されたい。
ステップ3:明確なプライバシー通知を作成する(第12条、第13条、第14条)
第13条および第14条は、組織に対しデータ主体に透明な情報を提供することを要求している。EDPBのCEF 2026執行アクションは、第12条、第13条、第14条に基づく透明性および情報提供義務に特に焦点を当てており、今年はすべてのEU加盟国のDPAがプライバシー通知を積極的に監査していることを意味する。
GDPRプライバシー通知に必須の内容
準拠したプライバシー通知には、以下を含めなければならない。
- 管理者の身元および連絡先詳細、該当する場合はDPOの連絡先詳細
- 各処理活動の目的および適法根拠
- 収集される個人データのカテゴリー
- 受領者または受領者のカテゴリー
- 国際データ移転の詳細および実施されている保護措置
- 保持期間、またはそれを決定するために用いられる基準
- 8つのデータ主体の権利すべて
- 監督機関に苦情を申し立てる権利
- データの提供が法定または契約上の要件であるかどうか
- プロファイリングを含む自動意思決定に関する情報、およびその関与する論理
データが本人から直接収集される場合(第13条)、通知は収集時に提供されなければならない。データが第三者から取得される場合(第14条)、通知は1か月以内に提供されなければならない。第12条は、簡潔で透明かつ容易にアクセス可能な、明確で平易な言葉遣いを要求している。階層的なアプローチ(詳細セクションへのリンクを伴う短い要約)がよく機能する。
ステップ4:同意管理プロセスを構築する(第7条、第8条)
同意が選択された適法根拠である場合、第7条は特定の要件を課す。これらの要件を満たさない同意は無効であり、処理は適法根拠を欠くことになる。
有効なGDPR同意の要件
「管理者は、データ主体が自己の個人データの処理に同意したことを証明できなければならない。」 (GDPR第7条(1))
第7条の下での有効な同意は、次のとおりでなければならない。
- 自由に与えられていること: 不要な処理への同意をサービスの条件とすることはできない。真の選択を妨げる力の不均衡があってはならない
- 特定的であること: 個別の処理目的ごとに別個の同意が必要である。まとめられた同意は無効である
- 情報に基づいていること: 個人は、誰がデータを収集し、何の目的で、そして撤回できることを知っていなければならない
- 明確であること: 明確な積極的行為が必要である。事前にチェックされたボックス、沈黙、不作為は同意を構成しない
- 撤回可能であること: 撤回は同意を与えるのと同じくらい容易でなければならない。撤回後の処理継続は許されない
子どもの個人データを処理する場合、第8条は16歳未満の子どもについて親の同意を要求する。加盟国はこれを13歳まで引き下げることができる。
同意管理インフラの要件
- 各個人について、同意時点での時刻、方法、表示された文言を記録する
- 同意の撤回を可能にし、すべてのシステムで下流の抑制をトリガーする
- 同意がいつ取得され、現在も有効であるかを記録する
- 処理目的が変更された場合の再同意フローに対応する
- 監督機関の求めに応じてアクセス可能な形式で同意記録を保管する
ステップ5:データ主体の権利手続を構築する(第15条から第22条)
GDPRは、個人に対し自己の個人データについて8つの権利を付与している。各権利の詳細な内訳については、GDPRデータ主体の権利を参照されたい。
8つの権利の概要
| 権利 | 条文 | 中核的義務 |
|---|---|---|
| アクセス | 15 | 1か月以内にデータの写しおよび指定された情報を提供する |
| 訂正 | 16 | 不正確または不完全なデータを不当な遅滞なく訂正する |
| 消去 | 17 | 不要になった場合、同意が撤回された場合、または異議が認められた場合にデータを削除する |
| 制限 | 18 | 正確性または適法性が争われている間、処理を一時停止する |
| データポータビリティ | 20 | 構造化され機械可読な形式でデータを提供する |
| 異議 | 21 | 正当な利益または直接マーケティングに基づく処理を停止する |
| 自動意思決定 | 22 | 人間によるレビューなしに重大な影響を及ぼす完全に自動化された決定に服さない |
権利手続のための運用チェックリスト
- データ主体アクセス要求に対応するチームまたは担当者を割り当てる
- 受付チャネルを構築し、受領を速やかに確認する
- 不正な開示を防ぐための本人確認手続を構築する
- 個人データを含むすべてのシステムをマッピングし、データを迅速に特定し取りまとめられるようにする
- 部分的な回答や拒否を含め、各権利の種類がどのように処理されるかを文書化する
- 期限を追跡する。標準期間は1暦月であり、複雑な要求については3か月への延長が認められるが、本人には最初の1か月以内に通知しなければならない
- 顧客対応の職員に対し、本人が法的用語を用いない場合であっても権利要求を認識できるよう研修する

ステップ6:必要な場合にデータ保護責任者を任命する(第37条)
GDPR第37条は、3つの状況においてDPOの任命を義務付けている。
DPOが義務的となる場合
DPOは、次の場合に任命されなければならない。
- 管理者または処理者が公的機関または団体である場合(司法機能において行動する裁判所を除く)
- 中核的活動が個人の大規模、定期的かつ体系的な監視を必要とする場合
- 中核的活動が特別カテゴリーのデータ(第9条)または犯罪歴データ(第10条)の大規模処理を伴う場合
「中核的活動」とは、すべての雇用主に共通する補助的な人事またはIT処理ではなく、組織の主たる活動を意味する。「大規模」には固定の数値基準はない。EDPBのDPOガイドラインは、データ主体の数、データ量、地理的範囲、処理期間を考慮する。
第38条から第39条に基づくDPOの要件
DPOは、データ保護法に関する専門知識を有し、最上位の経営陣に直接報告し、職務遂行方法について指示を受けることなく独立して活動し、十分な資源および処理業務へのアクセスを提供されなければならない。DPOは、その職務を遂行したことを理由に解雇または不利益を課されることはない。DPOの連絡先詳細は公表され、監督機関に伝達されなければならない。
DPOに関するEDPBの2023年協調執行報告書は、多くの組織が依然としてDPOに真の独立性と十分な資源を与えず、利益相反を生じさせる相反する任務を割り当てていることを明らかにした。
ステップ7:データ保護影響評価を実施する(第35条)
DPIAは、自然人の権利および自由に高いリスクをもたらす可能性のある処理の前に必要とされる。この義務は処理開始前に発生し、事後的なDPIAは第35条を満たさない。
DPIAが常に必要となる場合
DPIAは次の場合に義務的である。
- 個人に重大な影響を及ぼす体系的かつ広範なプロファイリング
- 特別カテゴリーデータまたは犯罪歴データの大規模処理
- 公共のアクセス可能な区域の大規模な体系的監視
各国の監督機関は、DPIAを必要とする処理業務の独自の一覧を公表している。主導監督機関が公表する一覧を確認すること。
AIシステムとDPIA
2024年8月1日に発効したEU AI法(規則(EU)2024/1689)は、AIシステムが個人データを処理する場合には常にGDPRと並行して適用される。CNILおよびEDPBは、高リスクAIシステム(AI法附属書III掲載)については、GDPR第35条に基づくDPIAが必要であると推定されるべきことを確認している。AI法第10条および第11条に基づく技術文書化およびデータガバナンスの要件は、DPIAが第35条(7)GDPRの要求するすべての要素を含む限り、DPIAに反映させることができる。
第35条(7)の下でDPIAが含むべき事項
- 処理業務およびその目的の体系的な記述
- 処理の必要性および比例性の評価
- データ主体の権利および自由へのリスクの評価
- それらのリスクに対処するために想定される措置
DPIAが軽減できない高い残存リスクを明らかにした場合、管理者は処理を進める前に監督機関に協議しなければならない(第36条の事前協議)。DPIAは、処理に重大な変更があるたびに見直されなければならない。
ステップ8:処理者契約を整備する(第28条)
第三者のサービスプロバイダーが貴組織に代わって個人データを処理する場合、第28条は処理開始前に書面によるデータ処理契約を要求している。
第28条DPAにおける必須条項
すべての処理者契約は、処理者が次のことを行うことを明記しなければならない。
- 管理者からの文書化された指示に基づいてのみ個人データを処理すること
- 認可されたすべての職員が守秘義務に拘束されることを確保すること
- 適切な技術的および組織的セキュリティ措置(第32条)を実施すること
- データ主体の権利要求への対応において管理者を支援すること
- DPIA、事前協議、侵害通知、セキュリティ義務を支援すること
- 契約終了時に、管理者の選択に応じてすべての個人データを削除または返還すること
- 第28条の遵守を証明するために必要なすべての情報を提供し、監査を可能にすること
- 管理者からの事前の書面による許可を得た場合にのみ副処理者を利用すること
ベンダー評価チェックリスト
- 個人データを取り扱うすべての既存のベンダー契約を監査する
- DPAが整備されており、第28条の必須条項をすべて含んでいることを確認する
- 質問票、認証(ISO 27001、SOC 2 Type II)、または監査権を通じてベンダーのセキュリティ措置を評価する
- ベンダーがEU/EEA域外にデータを移転しているかどうかを確認し、法的な移転メカニズムを確認する
- 副処理者の一覧および副処理者変更の手続を見直す
- 定期的なベンダー見直しサイクルを確立する(少なくとも年1回、または重要な変更があった場合)
ステップ9:技術的および組織的セキュリティ措置を実施する(第32条)
第32条は、リスクに見合った適切なセキュリティを確保するための、技術的および組織的措置を要求している。措置は、最新技術水準、実施コスト、処理の性質・範囲・状況・目的、および個人へのリスクの変動する可能性と重大性に応じて調整されなければならない。
第32条が特に言及する事項
- 個人データの仮名化および暗号化
- 処理システムの継続的な機密性、完全性、可用性、および回復力を確保する能力
- インシデント発生後、個人データの可用性およびアクセスを適時に回復する能力
- セキュリティ措置の実効性を定期的に試験、評価、査定するプロセス
これらの法定の例を超えて、組織は一般的に次のことを実施する。役割ベースのアクセス制御および最小権限の原則、多要素認証、ネットワークセグメンテーション、脆弱性管理およびパッチ適用スケジュール、エンドポイント保護、データ損失防止制御、物理的セキュリティ、サプライヤーのセキュリティ評価である。
組織的措置には、文書化された情報セキュリティ方針、データ分類スキーム、明確な役割と責任、セキュリティインシデント管理、第三者リスク管理手続が含まれる。
ステップ10:侵害対応計画を構築し試験する(第33条、第34条)
GDPRは、侵害通知について厳格な期限を課している。期限内に報告しなかった場合、根本的なセキュリティ上の不備に対する制裁とは別に、重大な制裁金が科され得る。通知要件の詳細な解説については、GDPR侵害通知72時間ルールを参照されたい。
第33条に基づく72時間通知義務
第33条(1)の下では、管理者は、個人データ侵害を認知した後、「不当な遅滞なく、かつ可能な場合には72時間以内に」所轄の監督機関に通知しなければならない。EDPBは「認知」を、個人データに影響を及ぼすセキュリティインシデントが発生したことについて管理者が合理的な確実性を有した時点と解釈している。
第33条(3)に基づく通知には、次の内容を含めなければならない。侵害の性質および影響を受けるデータ主体および記録のおおよその数、DPOの連絡先詳細、侵害の予想される結果、そして講じられた、または提案されている対応措置である。
第34条に基づく影響を受ける個人への通知義務
侵害が影響を受ける個人に高いリスクをもたらす可能性が高い場合、管理者は不当な遅滞なくその個人に通知しなければならない。第34条(3)は、データが暗号化されているか判読不能とされていた場合、その後の措置により高いリスクが生じなくなった場合、または個人への通知が不均衡な労力を要する場合(この場合は公的な通知で代替できる)に、限定的な例外を設けている。
処理者は、侵害を認知した後、不当な遅滞なく管理者に通知しなければならない(第33条(2))。処理者契約には、通常24時間から48時間という契約上の期限を明記すべきである。
侵害対応の運用チェックリスト
- 侵入検知、ログ監視、異常検知アラートといった技術的検知制御を実施する
- 明確な役割、エスカレーション経路、そして組織的な「認知」の明確な定義を伴う侵害対応チームを設置する
- データ主体へのリスクを評価するための侵害評価テンプレートを作成する
- 監督機関および影響を受ける個人向けの通知テンプレートを準備する
- 通知閾値未満のものを含め、すべてのインシデントを文書化する侵害登録簿を維持する
- 少なくとも年1回、机上演習を通じて侵害対応手続を試験する
ステップ11:国際データ移転の保護措置を整備する(第5章)
EU/EEA域外の国への個人データの移転は、第5章のメカニズムのいずれかが整備されている場合にのみ認められる。
移転メカニズム
| メカニズム | 使用場面 |
|---|---|
| 十分性認定(第45条) | 委員会が十分と認定した国への移転(例:日本、大韓民国、英国、EU-米国データプライバシーフレームワークの下での米国) |
| 標準契約条項(第46条(2)(c)) | 十分性を持たない国について最も一般的なメカニズム。委員会は2021年6月に改訂版SCCを採択した |
| 拘束的企業準則(第47条) | 多国籍組織向けの承認されたグループ内メカニズム |
| 特定の適用除外(第49条) | 他のメカニズムが利用できない随時的な移転に対する限定的な例外 |
移転影響評価
SCCまたはBCRに依拠する場合、EDPB勧告01/2020は、移転先国の法律がEU法と実質的に同等の保護を提供しているかどうかを評価する移転影響評価を要求している。この評価は、監視法、政府アクセス権、利用可能な法的救済、および移転先国の公的機関の実績を考慮しなければならない。十分性認定は監視されるべきである。欧州司法裁判所はこれまでにも十分性認定を無効としてきており、EU-米国データプライバシーフレームワークは依然として継続中の法的異議申立ての対象となっている。
ステップ12:設計及び初期設定によるデータ保護を組み込む(第25条)
第25条は、管理者に対し、新たな処理活動またはシステムの最も早い段階からデータ保護原則を実施すること(設計による)、および各目的について必要最小限のデータのみが処理されることを確保すること(初期設定による)を要求している。
実務における設計によるデータ保護
- プロジェクト管理または製品開発プロセスにおける必須のゲートとしてデータ保護レビューを組み込む
- 当初からシステムアーキテクチャにアクセス制御、暗号化、仮名化を組み込む
- データ露出を最小化する技術を選択する
- 設計上の決定およびプライバシー上のトレードオフを文書化する
実務における初期設定によるデータ保護
初期設定は、利用可能な中で最もプライバシーを保護するものでなければならない。実務上の措置には、最小限のフィールドを持つデータ収集フォーム、必須でない処理についてはオプトアウトではなくオプトインをデフォルトとすること、保持期間後の自動削除、役割ベースのアクセス制御、分析および追跡設定におけるプライバシー保護的な初期設定が含まれる。
ステップ13:職員研修とアカウンタビリティ(第39条(1)(b))
第39条(1)(b)は、職員意識向上研修をDPOの義務的職務の一つとして列挙している。第5条(2)に基づくアカウンタビリティ原則は、義務的なDPOを持たない組織に対しても研修の実施を証明することを要求している。執行決定はしばしば、不十分な職員研修を加重要因として挙げる。
研修プログラムの要件
- 個人データを取り扱うすべての職員に対し、処理開始前に基礎的なGDPR研修を提供し、少なくとも年1回更新する
- 人事、マーケティング、IT・開発、カスタマーサービスなどの高リスク機能について役職別の研修を実施する
- 職員に対し、貴組織固有のプライバシー通知、適法根拠、保持方針、侵害報告手続について研修する
- すべての研修を文書化する。出席者、日付、形式、内容
- 出席だけでなく能力を評価する
規制監査で継続的に良好な成績を収めている組織は、可視的なリーダーシップのコミットメント、各部門のプライバシーチャンピオン、プライバシー上の懸念に対する明確なエスカレーション経路、プライバシー上の期待を強化する定期的な社内コミュニケーションを通じて、データ保護を組織文化に組み込んでいる。
ステップ14:ベンダー管理と継続的な見直し(第24条、第28条)
第24条は、管理者に対し適切な措置を実施し、継続的にコンプライアンスを証明できることを要求している。コンプライアンスプログラムには、初期実装だけでなく定期的な見直しサイクルが必要である。
継続的なコンプライアンス見直しの枠組み
- 年次コンプライアンス監査: 少なくとも年1回、または処理に重要な変更があった際に、RoPA、プライバシー通知、同意記録、DPA、セキュリティ措置を見直す
- DPIAの見直し: 処理の性質、範囲、状況、目的が大幅に変化するたびにDPIAを見直す
- ベンダーの見直し: 定期的に処理者を再評価する。副処理者の一覧、認証、移転メカニズムを見直す。ベンダーのセキュリティインシデントを監視する
- 立法の監視: EDPBガイドライン、各国DPAガイダンス、CJEU判決、デジタル・オムニバス立法プロセスを含む動向を追跡する
- インシデントの見直し: セキュリティインシデント発生後、事後レビューを実施し、それに応じて手続、制御、研修を更新する
アカウンタビリティ文書
以下を含むコンプライアンスファイルを維持する。RoPA、DPIAおよびその見直し履歴、DPA契約、同意記録および撤回ログ、職員研修記録、セキュリティ評価、侵害登録簿、DPO任命に関する文書である。これらの記録は、監督機関が調査を開始した場合のエビデンス基盤となる。
最近の動向:EU AI法と2025年11月のデジタル・オムニバス
EU AI法とGDPRコンプライアンス
EU AI法(規則(EU)2024/1689)は2024年8月1日に発効し、段階的に適用される。許容できないリスクを有するAIシステムに対する禁止事項は2025年2月2日から適用された。汎用AIモデル提供者に対する義務は2025年8月2日から適用された。高リスクAIシステムに対するほとんどの義務は2026年8月2日から適用される。
AI法第2条(7)は、AIシステムのライフサイクルにおけるすべての個人データの処理に、EUデータ保護法が引き続き完全に適用されることを明示的に確認している。EDPBは声明3/2024において、AI法が並行する義務を創設する場合であっても、データ保護当局はGDPRの下での完全な監督権限を維持することを確認した。
個人データを処理するAIシステムを開発または展開する組織にとって:
- AIモデルの学習のために個人データを処理するには、GDPR第6条(および特別カテゴリーデータについては第9条)に基づく適法根拠が必要である
- 個人データを処理する高リスクAIシステム(AI法附属書III)は、GDPR第35条の下でDPIAを必要とするものとして扱われるべきである。AI法の技術文書は、第35条(7)のすべての要素が満たされる限り、DPIAに反映させることができる
- データの品質およびバイアス検証を扱う高リスクAIシステムに対するAI法第10条のデータガバナンス要件は、GDPRのデータ最小化および正確性の原則を補完するものである
CNILは、AIシステム開発におけるGDPRコンプライアンスに関する詳細な勧告を公表しており、学習データの適法根拠、モデル開発におけるデータ最小化、学習にデータが使用される個人のデータ主体の権利、モデルアーキテクチャにおける設計によるプライバシーを扱っている。
2025年11月のデジタル・オムニバス提案
2025年11月19日、欧州委員会はデジタル・オムニバス・パッケージを公表し、GDPR、eプライバシー指令、NIS2指令、データ法、EU AI法の改正を提案した。提案されているGDPR改正は、EUの立法プロセスの途上にあり、まだ発効していない。
デジタル・オムニバスにおける主な提案されたGDPR変更には次のものが含まれる。
- 第30条(5)閾値の引き上げ: 中小企業のRoPA適用除外は、処理が高いリスクをもたらさないことを条件に、従業員250名未満から750名未満(財務基準を伴う)に引き上げられる
- 正当な利益としてのAI学習: AIシステムの開発および展開のための個人データの処理は、必要性、比例性、適切な保護措置を条件に、第6条(1)(f)に基づく正当な利益を構成し得るとの明確化
- 個人データの定義の改訂: ある事業体が本人を特定するために合理的に用いる可能性の高い手段を有していない場合、または特定が法的に禁止されているか不均衡な労力を要する場合、その情報は個人データを構成しないものとする
- クッキーおよび追跡規則の変更: クッキーバナーによる同意疲労を軽減するためのeプライバシー規則の改正
EDPBおよびEDPSは、共同意見2/2026において、記録保持の簡素化を歓迎する一方、個人データの再定義およびそのEU基本権憲章との整合性について懸念を表明した。プライバシー擁護団体はいくつかの規定を批判している。組織はこのプロセスを注視すべきであるが、この提案が制定されるまではそれに基づいてコンプライアンスプログラムを調整すべきではない。
免責事項
本記事は、2026年5月19日時点における一般データ保護規則(規則(EU)2016/679)および関連するEU立法に関する一般的な法律情報を提供するものである。法的助言を構成するものではなく、弁護士・依頼者関係を成立させるものでもない。コンプライアンス要件は、貴組織の具体的な処理活動、分野、規模、そして事業を行う加盟国によって異なる。コンプライアンスに関する決定を行う前に、関連法域で資格を有するデータ保護弁護士または認定プライバシー専門家に相談されたい。本記事で言及されている2025年11月のデジタル・オムニバス提案は立法上の提案であり、まだ発効していない。
著者について
[プレースホルダー:著者陣は選定待ち]
引用当局
- 一般データ保護規則、欧州議会および理事会規則(EU)2016/679、2016年4月27日。https://eur-lex.europa.eu/eli/reg/2016/679/oj
- 欧州データ保護会議(EDPB)。https://edpb.europa.eu/edpb_en
- 欧州委員会、EUにおけるデータ保護。https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en
- 欧州委員会、DPIAが必要な場合とは?https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_en
- 欧州委員会、DPOの要件。https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/data-protection-officers/does-my-companyorganisation-need-have-data-protection-officer-dpo_en
- EDPB、DPIAおよび高リスク処理に関するガイドライン。https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- EDPB、第30条処理活動記録。https://www.edpb.europa.eu/gdpr-articles/article-30-records-processing-activities_en
- EDPB、第33条 監督機関への侵害通知。https://www.edpb.europa.eu/gdpr-articles/article-33-notification-personal-data-breach-supervisory-authority_en
- EDPB、協調執行報告書:DPO(2024年1月)。https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf
- 欧州委員会、個人データ侵害とは何か?https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
- ICO、DPIAが必要な場合とは?https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
- ICO、処理活動をどのように文書化するか?https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/documentation/how-do-we-document-our-processing-activities/
- 欧州委員会、GDPRの原則。https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/principles-gdpr_en
- EU AI法、規則(EU)2024/1689。https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
- 欧州委員会、AI法発効(2024年8月1日)。https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
- EDPB声明3/2024:AI法枠組みにおけるDPAの役割。https://www.edpb.europa.eu/news/news/2024/edpb-adopts-statement-dpas-role-ai-act-framework-eu-us-data-privacy-framework-faq_en
- 欧州委員会、デジタル・オムニバス規則提案(2025年11月19日)。https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- EDPBおよびEDPS、デジタル・オムニバスに関する共同意見2/2026。https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
- EDPBおよびEDPS、GDPRの的を絞った改正:記録保持の簡素化。https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en
- EDPB、CEF 2026:透明性および情報提供義務に関する協調執行。https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CNIL、AIシステム開発:GDPR遵守のための勧告。https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
- EDPB、DSAとGDPRの相互作用に関するガイドライン。https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_en
関連記事
- GDPRとは何か:規則の包括的な概要
- GDPRデータ主体の権利:8つの個人権利すべてに関する詳細なガイダンス
- GDPR同意要件:有効な同意の基準および管理義務
- GDPR侵害通知72時間ルール:侵害報告要件の全容
- 中小企業向けGDPR:提案されているデジタル・オムニバス改正を含む中小企業向けガイダンス
- EUデータプライバシー法:EUデータ保護の完全なハブ
最終更新日:2026年5月19日。引用された法令およびガイダンスは、2026年5月19日時点で施行されているバージョンを反映している。本記事で言及されているデジタル・オムニバス提案は、2025年11月19日時点の立法提案であり、まだ発効していない。
Frequently Asked Questions
GDPRコンプライアンスの最初のステップは何ですか?
最初のステップは、データマッピングを実施し、第30条に基づく処理活動記録を構築することである。貴組織が収集する個人データのすべてのカテゴリー、その出所、処理方法、アクセス権者、保存場所を特定する必要がある。データフローの全体像を把握しなければ、適法根拠を適切に特定したり、正確なプライバシー通知を作成したり、適切なセキュリティ措置を実施したりすることはできない。
すべての組織にデータ保護責任者が必要ですか?
いいえ。DPOは、公的機関、中核的活動が個人の大規模な定期的かつ体系的な監視を必要とする組織、および特別カテゴリーデータ(健康、生体、犯罪歴データ)を大規模に処理する組織についてのみ義務的である(GDPR第37条)。多くの組織は任意でDPOを任命している。義務的か任意かにかかわらずDPOを指定する場合、独立性、資源、解雇からの保護に関するGDPRの規則がすべて適用される。
GDPRコンプライアンスはどのくらいの頻度で見直すべきですか?
GDPRコンプライアンスには継続的な維持管理が必要である。処理記録は処理に変更があるたびに更新すべきである。DPIAは処理の性質、範囲、目的が大幅に変化した際に見直さなければならない。プライバシー通知は新たな処理が導入された際に更新すべきである。職員研修は少なくとも年1回更新すべきである。ほとんどの組織は年1回の包括的なコンプライアンス監査を実施し、重要な業務変更の際に臨時の見直しを行う。
データ保護影響評価はいつ必要ですか?
DPIAは、個人の権利および自由に高いリスクをもたらす可能性のある処理の前に必要である(GDPR第35条)。重大な影響を伴う体系的なプロファイリング、特別カテゴリーデータの大規模処理、公共区域の大規模な体系的監視については常に必要となる。各国の監督機関は、DPIAを必要とする業務の追加の一覧を公表している。EU AI法の下での高リスクAIシステムの導入者については、CNILおよびEDPBがDPIAを必要と推定すべきことを確認している。
GDPRプライバシー通知には何を含めなければなりませんか?
プライバシー通知には、管理者の身元および連絡先詳細、該当する場合はDPOの連絡先詳細、処理の目的および適法根拠、収集されるデータのカテゴリー、受領者、保持期間、国際移転の詳細、8つのデータ主体の権利すべて、監督機関への苦情申立ての権利、自動意思決定に関する情報を含めなければならない。通知は明確で平易な言葉遣いを用いなければならない(GDPR第12条)。EDPBのCEF 2026執行アクションは、第12条、第13条、第14条に基づくプライバシー通知に特に焦点を当てている。
GDPR非遵守に対する罰則は何ですか?
GDPRの制裁金は、中核的原則、データ主体の権利、国際移転規則の違反について最大2,000万ユーロまたは全世界年間売上高の4%(いずれか高い方)に達する。第30条の記録維持や必要なDPOの任命を怠ったことを含む行政上の違反には、最大1,000万ユーロまたは売上高の2%というより低い階層の制裁金が適用される。監督機関は警告、譴責、処理禁止を発することもできる。執行データおよび事例については、GDPR制裁金と罰則を参照されたい。
第28条に基づき処理者契約には何を含めなければなりませんか?
第28条のDPAには、次の事項を明記しなければならない。処理の主題、期間、性質、目的。個人データの種類およびデータ主体のカテゴリー。処理者が管理者からの文書化された指示に基づいてのみ行動する義務。職員の守秘義務。セキュリティ措置。データ主体の権利および侵害通知への支援。契約終了時のデータの削除または返還。監査権。事前の書面による許可を要する副処理委託の条件。
EU AI法はGDPRコンプライアンスにどのような影響を与えますか?
EU AI法(規則(EU)2024/1689)は、AIシステムが個人データを処理する場合には常にGDPRと並行して適用される。AI法第2条(7)は、GDPR上の義務を完全に維持することを明示的に定めている。附属書IIIに掲載された高リスクAIシステムについて、導入者はGDPR第35条の下でDPIAが原則として必要であると扱うべきである。2025年11月のデジタル・オムニバス提案は、AI開発のための処理が正当な利益を構成し得るとの明確化を含んでいるが、この提案はまだ法律になっていない。
2025年11月のデジタル・オムニバス提案はGDPRについて何を変更しますか?
2025年11月19日に公表されたデジタル・オムニバスは、第30条(5)の中小企業記録保持適用除外を従業員250名未満から750名未満に引き上げること、AI学習が第6条(1)(f)の下で正当な利益を構成し得ることの明確化、本人を特定できない事業体についての個人データの定義の縮小、オンライン追跡の同意規則の調整を提案している。これらは立法交渉中の提案であり、まだ発効していない。
移転影響評価とは何ですか、いつ必要ですか?
移転影響評価(TIA)は、GDPR第5章の下での国際データ移転について標準契約条項または拘束的企業準則に依拠する際に必要とされる、第三国の法的枠組みがEU法と実質的に同等の保護を提供しているかどうかの分析である。EDPB勧告01/2020は、その方法論を提供している。TIAは、監視法、政府アクセス権、利用可能な法的救済、および移転先国の公的機関の実績を検討しなければならない。
Sources and References
- GDPR - 欧州議会および理事会規則(EU)2016/679(eur-lex.europa.eu).gov
- 欧州データ保護会議(EDPB)(edpb.europa.eu).gov
- 欧州委員会 - EUにおけるデータ保護(commission.europa.eu).gov
- 欧州委員会 - DPIAが必要な場合とは?(commission.europa.eu).gov
- 欧州委員会 - DPOの要件(commission.europa.eu).gov
- EDPB - DPIAおよび高リスク処理に関するガイドライン(edpb.europa.eu).gov
- EDPB - 第30条 処理活動記録(edpb.europa.eu).gov
- EDPB - 第33条 監督機関への侵害通知(edpb.europa.eu).gov
- EDPB - 2023年DPO協調執行報告書(edpb.europa.eu).gov
- 欧州委員会 - 個人データ侵害とは何か?(commission.europa.eu).gov
- ICO - DPIAが必要な場合とは?(ico.org.uk).gov
- ICO - 処理活動の文書化(ico.org.uk).gov
- 欧州委員会 - GDPRの原則(commission.europa.eu).gov
- EU AI法 - 規則(EU)2024/1689(eur-lex.europa.eu).gov
- 欧州委員会 - AI法発効(2024年8月)(commission.europa.eu).gov
- EDPB声明3/2024 - AI法枠組みにおけるDPAの役割(edpb.europa.eu).gov
- 欧州委員会 - デジタル・オムニバス規則提案(2025年11月)(digital-strategy.ec.europa.eu).gov
- EDPBおよびEDPS共同意見2/2026 - デジタル・オムニバスについて(edpb.europa.eu).gov
- EDPB - GDPRの的を絞った改正:記録保持の簡素化(edpb.europa.eu).gov
- EDPB - CEF 2026:透明性および情報提供義務に関する協調執行(edpb.europa.eu).gov
- CNIL - AIシステム開発:GDPR遵守のための勧告(cnil.fr).gov
- EDPB - DSAとGDPRの相互作用に関するガイドライン(edpb.europa.eu).gov