GDPR制裁金と罰則:完全ガイド(2026年版)

GDPR第83条は2つの制裁金階層を定めている。組織上の違反については最大1,000万ユーロまたは全世界年間売上高の2%、中核的な処理原則、データ主体の権利、または移転要件の違反については最大2,000万ユーロまたは4%であり、いずれもより高い方が適用される。
GDPRは、欧州のデータ保護当局に対し、その規定に違反した組織に相当な行政制裁金を科す権限を与えている。2018年5月25日の規則発効以来、EU全域の監督機関は2,800件を超える制裁金、総額71億ユーロ以上を科してきた。
本ガイドでは、制裁の構造を詳細に説明し、制裁金算定に関するEDPBの方法論をカバーし、企業責任に関する画期的なDeutsche Wohnen判決を分析し、最大級の制裁金とその現在の状況を一覧にし、第82条に基づく民事賠償請求を含む制裁金以外の帰結を扱う。規則自体の概要についてはGDPRとは何かガイドを参照されたい。
本記事は情報提供のみを目的としており、法的助言を構成するものではない。貴自身の状況に特化した助言については、有資格のデータ保護弁護士またはプライバシー専門家に相談されたい。
簡潔な回答:GDPRの制裁とは何か
GDPRの制裁は第83条に基づき2つの階層に分かれる。
より重大な違反(中核的な処理原則、データ主体の権利、同意規則、国際移転要件の違反)については、上限は**2,000万ユーロまたは組織の全世界年間総売上高の4%**のいずれか高い方である。
組織上・手続上の違反(記録の不備、必要な場合にDPOを任命しなかったこと、不十分な侵害通知)については、上限は**1,000万ユーロまたは全世界年間売上高の2%**のいずれか高い方である。
大規模な多国籍企業にとっては、割合による上限が固定のユーロ額を大きく上回る。年間売上高300億ユーロの企業は、4%の階層で最大12億ユーロの上限に直面し得るが、これはまさに2023年にMetaに科された金額である。
制裁金を超えて、当局は処理を禁止し、データ消去を命じ、遵守是正命令を課し、国際データ移転を停止させることができる。個人はまた、第82条に基づき、管理者または処理者から直接、物的損害および非物的損害についての賠償を請求することができる。

第83条に基づく2段階の制裁金構造
GDPR第83条は、2段階の制裁金上限枠組みを確立している。適用される階層は、どの規定が違反されたかに完全に依存する。
下位階層:最大1,000万ユーロまたは全世界売上高の2%
下位階層は、第8条、第11条、第25条から第39条、第42条、第43条に定める管理者・処理者の義務の違反に適用される。これらは主に組織上・手続上の要件である。
- 処理活動記録の未整備(第30条)
- 必要なデータ保護影響評価の未実施(第35条)
- 必要な場合にDPOを任命しないこと(第37条)
- 不十分な侵害通知手続(第33条)
- 認証機関および監視機関による不履行
これらの違反は重大であるが、個人データの利用方法を規律する基本原則の違反よりも軽度なものとして扱われる。
上位階層:最大2,000万ユーロまたは全世界売上高の4%
上位階層は、GDPRのデータ保護枠組みの中心に位置する規定の違反に適用される。
- 処理の基本原則および適法な処理の条件(第5条、第6条、第7条、第9条)
- データ主体の権利:アクセス、訂正、消去、制限、ポータビリティ、異議申立(第12条から第22条)
- 国際データ移転規則(第44条から第49条)
- 第IX章に基づき採択された国内法の規定
- 監督機関の拘束力ある命令への不遵守
制裁金は常に該当する階層内でより高い方の額となる。 全世界年間売上高100億ユーロの企業について、4%は4億ユーロの上限を生じさせ、これは2,000万ユーロの固定上限の20倍である。
故意・過失要件:Deutsche Wohnen判決
初期のGDPR執行における重要な論点は、制裁金が厳格責任基準の下で企業に科され得るのか、それとも違反が故意または過失によるものである場合に限られるのか、というものであった。
CJEUは、**事件C-807/21(Deutsche Wohnen)**についての2023年12月5日の判決でこれを解決した。この事件は、賃借人データが不要になった後も保持し続けたことについて、ベルリンのデータ保護当局が不動産会社に科した1,450万ユーロの制裁金から生じたものである。
CJEUは3つの重要な判断を下した。
第一に、故意・過失要件が適用される。GDPRの行政制裁金は、違反が故意または過失によって行われた場合にのみ科すことができる。厳格責任は第83条と両立しない。これは、企業が合理的に特定または防止する手段を持たなかった違反について制裁金を科され得るという主張に終止符を打った。
第二に、特定された自然人は不要である。当局は、法人に制裁金を科す前に、組織内の特定された個人に違反を帰属させる必要はない。企業は、特定の個人に対する別個の認定なしに、その機関、従業員、または代理人の行為に基づき直接制裁され得る。
第三に、企業は「事業体」として制裁される。制裁金の上限を算定するにあたり、管理者は競争法上の意味における「事業体」として扱われる。これは、上限が直接の管理者であった子会社や事業体のみではなく、経済単位全体の全世界売上高に対して算定されることを意味する。親会社の売上高も含まれる。
この判決は、当局が制裁金調査にどのように取り組むか、また企業がどのようにそれに対して防御できるかの両方を形作るため、実務上重要である。違反が過失によるものでなかったこと(文書化された合理的なコンプライアンス努力を通じて)を示すことは、今や有効な抗弁となっている。

GDPR制裁金の算定方法:EDPBガイドライン04/2022
行政制裁金の算定に関するEDPBガイドライン04/2022は、すべてのEU加盟国の監督機関が従う5段階の方法論を定めている。このガイドラインは、パブリックコンサルテーションを経て2023年6月に最終化された。
この方法論は自動化された計算式ではない。制裁金は各段階の枠組みの中で監督機関の裁量に委ねられているが、この枠組みは管轄区域間の一貫性を生み出している。
ステップ1:処理業務および適用条文を特定する
当局は、どの処理業務が問題となっているか、どのGDPR規定が違反されたかを特定する。同一の処理業務群から複数の違反が生じる場合、第83条(3)が適用される。すなわち、各違反ごとに個別の制裁金を科すのではなく、最も重大な違反について単一の制裁金が科される。これにより、機能的には一つの行為の course of conduct に対する制裁の人為的な増殖が防止される。
ステップ2:基準額を決定する
基準額は3つの変数を反映する。
違反の性質:第83条のどの階層が適用されるか。違反された規定はデータ主体の基本的権利にとって中心的なものか、それとも組織上の手続か。
重大性:具体的にどの程度深刻な違反か。影響を受けるデータ主体の数、関係するデータの機微性(健康や生体データなどの特別カテゴリーデータはより重大に扱われる)、データ主体が被った財務的またはその他の損害、地理的範囲である。
継続期間:違反はどのくらいの期間続いたか。数日以内に発見・是正された違反は、数年間継続した違反とは異なる扱いを受ける。
基準額はまた、事業体の売上高に対しても調整される。中小企業にとって抑止的な制裁金は、多国籍企業にとっては無視できるものとなるため、絶対額は組織の規模に応じて調整される。
ステップ3:加重・軽減事由を評価する
第83条(2)は、当局が考慮しなければならない特定の要素を列挙している。これらは算定額を上下させる。
| 要素 | 加重事由 | 軽減事由 |
|---|---|---|
| 故意性 | 意図的な違反 | 過失による見落とし |
| 緩和措置 | 講じられなかった | 迅速かつ効果的な是正 |
| 過去の行為 | 過去のGDPR違反 | 執行歴がクリーンであること |
| 協力 | 調査を妨害した | 全面的かつ積極的な協力 |
| データカテゴリー | 特別カテゴリーまたは子どものデータ | 機微でない一般データ |
| 自己申告 | 当局が問題を発見した | 組織が自己申告した |
| 認証 | 行動規範なし | 承認された行動規範または認証の遵守 |
| 損害 | データ主体への重大な害 | 最小限または実害なし |
協力は、実務上最も重要な要素の一つである。透明性をもって関与し、迅速に是正措置を実施し、情報要求に十分に対応する組織は、遅延や妨害を行う組織よりも一貫して低い制裁金を受ける。
ステップ4:法定上限を適用する
算定された金額は、該当する階層の適用上限と照合される。事情がどれほど深刻であっても、制裁金がその上限を超えることはない。
ステップ5:有効性、比例性、抑止力を評価する
最終的な金額は、第83条(1)に基づく3つの要件を満たさなければならない。有効性(遵守を確保できること)、比例性(違反および組織の状況に照らして過剰でないこと)、抑止力(将来の違反を抑止できること)である。当局は、これら3つの要件のいずれかを満たさない場合、金額を調整することができる。
2026年3月のAmazonの制裁金無効化は、この段階の重要性を示している。ルクセンブルクの裁判所は、CNPDが比例性分析を省略していたことを認定し、それだけで制裁金全体を無効化するのに十分であった。
第83条(2):要素の全リスト
第83条(2)は、監督機関が考慮しなければならない11の要素を規定している。これらは組織が文書化できる事項に直接対応する。
- 違反の性質、重大性、継続期間
- 違反が故意または過失によるものであったか
- 損害を軽減するために講じられた措置
- 第25条および第32条に基づく技術的・組織的措置を踏まえた責任の程度
- 管理者または処理者による過去の関連違反
- 監督機関との協力の程度
- 影響を受けた個人データのカテゴリー
- 当局がどのように違反を認識したか(自己申告か苦情による発見か)
- 同一の管理者に対して過去に第58条(2)に基づく措置が命じられたことがあるか
- 承認された行動規範(第40条)または認証メカニズム(第42条)の遵守
- その他の該当する加重・軽減事由

最大級のGDPR制裁金とその現在の状況
以下の表は、これまでに科された制裁金上位10件をカバーしている。控訴状況は2026年5月時点で確認済みである。
| 順位 | 企業 | 制裁金額 | DPA | 年 | 違反内容 | 状況 |
|---|---|---|---|---|---|---|
| 1 | Meta(Facebook) | 12億ユーロ | アイルランドDPC | 2023 | 適切な保護措置のないEU・米国間データ移転 | 制裁金は維持、EU一般裁判所で控訴が係属中 |
| 2 | Amazon | 7億4,600万ユーロ | ルクセンブルクCNPD | 2021 | 行動ターゲティング広告の法的根拠が無効 | 2026年3月に無効化、事件はCNPDに差し戻し |
| 3 | TikTok | 5億3,000万ユーロ | アイルランドDPC | 2025 | EEA利用者データの中国への移転 | 制裁金は発出済み、アイルランド高等裁判所で控訴中、移転停止は保留 |
| 4 | Meta(Instagram) | 4億500万ユーロ | アイルランドDPC | 2022 | 適切な保護措置のない子どものデータ処理 | 確定 |
| 5 | Meta(Facebook/Instagram) | 3億9,000万ユーロ | アイルランドDPC | 2023 | 行動ターゲティング広告の適法な根拠なし | 確定 |
| 6 | TikTok | 3億4,500万ユーロ | アイルランドDPC | 2023 | 子どものデータおよびデフォルトのプライバシー設定 | 確定 |
| 7 | 3億1,000万ユーロ | アイルランドDPC | 2024 | 行動ターゲティング広告の同意・法的根拠が無効 | アイルランド高等裁判所で控訴提起 | |
| 8 | Uber | 2億9,000万ユーロ | オランダAP | 2024 | 保護措置のないEUドライバーデータの米国への移転 | 控訴提起、最長4年を要する見込み |
| 9 | Meta(Facebook) | 2億6,500万ユーロ | アイルランドDPC | 2022 | 5億3,300万件の記録のスクレイピングを許したセキュリティ不備 | 確定 |
| 10 | Meta(Facebook) | 2億5,100万ユーロ | アイルランドDPC | 2024 | 全世界2,900万アカウントに影響したセキュリティ侵害 | 確定 |
主要な事件の注記
Meta 12億ユーロ(2023年5月)。 アイルランドDPCは、EDPBの拘束力ある決定を受けてこの記録的な制裁金を科した。Metaは標準契約条項に基づきEUのFacebook利用者データを米国に移転していたが、EDPBは、米国の監視法制を踏まえるとSCCがEUデータを適切に保護できないと認定した。MetaはEU一般裁判所に控訴し、その控訴は2026年初めのCJEU手続上の判断を経て正式に凍結解除され、現在も係属中である。Metaは今後の移転メカニズムとしてEU・米国間のデータプライバシーフレームワークを採用したが、これは過去の違反を遡及的に治癒するものではない。
Amazon 7億4,600万ユーロ(2021年、2026年3月に無効化)。 ルクセンブルクのCNPDは、行動ターゲティング広告の法的根拠として「正当な利益」を用いたことについてこの制裁金を科した。2026年3月12日、ルクセンブルクの行政裁判所はこの制裁金を無効とした。裁判所は、CNPDがDeutsche Wohnen判決が要求する故意・過失分析を実施しておらず、比例性、具体的にはより軽度な措置が適切であったかどうかを適切に評価していなかったと認定した。裁判所は、Amazonの法的根拠が無効であったという実体的な認定は支持した。事件はCNPDに差し戻された。Amazonは、準拠した形での再評価を経て、依然として新たな制裁金に直面する可能性がある。
TikTok 5億3,000万ユーロ(2025年5月2日)。 アイルランドDPCはTikTokに対し、EEA利用者に対し中国からの自らのデータへのアクセスの可能性について情報提供しなかったこと(第13条違反)について4,500万ユーロ、第46条に基づく実効的な保護措置なしにEEA利用者データを中国に移転したことについて4億8,500万ユーロを科した。DPCはまた、TikTokに対し6か月以内に移転を停止するよう命じた。TikTokは2025年5月にアイルランド高等裁判所に控訴した。2025年11月、裁判所は控訴審理中のデータ移転停止命令を保留した。すなわち、TikTokは手続の継続中、中国への移転を停止する必要はない。5億3,000万ユーロの制裁金自体は保留されていない。
LinkedIn 3億1,000万ユーロ(2024年10月)。 アイルランドDPCは、LinkedInが行動分析および広告について、無効な同意、不適法な正当な利益、不適法な契約上の必要性を法的根拠として利用していたと認定した。LinkedInは、制裁金が不釣り合いであると主張して高等裁判所に控訴した。控訴は係属中である。
Uber 2億9,000万ユーロ(2024年8月)。 オランダAPはUberに対し、犯罪歴、医療データ、位置情報を含むEUドライバーデータを、2年以上にわたりいかなる移転メカニズムもなく米国本社に移転したことについて制裁金を科した。Uberは控訴しており、手続は最長4年を要する見込みである。
なぜアイルランドが最大級の制裁金を独占するのか
上位10件のうち6件はアイルランドのデータ保護委員会によって科されたものである。GDPRのワンストップショップメカニズムは、企業がEU域内の主たる拠点を置く加盟国のDPAに主たる監督機関の地位を割り当てる。Meta、Google、Apple、TikTok、LinkedIn、Microsoftはいずれもダブリンを選択しており、アイルランドDPCがそれらの主導的な監督機関となっている。DPCの執行ペースは、大手テクノロジープラットフォームの執行不足とみなしたEDPBおよび他のEU当局からの継続的な圧力を受け、2022年以降加速した。

制裁金を超えた帰結
行政制裁金はGDPR執行の最も目に見えるツールであるが、監督機関は第58条(2)に基づく幅広い是正権限のツールキットを有しており、個人は第82条に基づく独立した民事賠償請求権を有する。
第58条(2)に基づく是正権限
監督機関は、制裁金とは別に、またはそれに加えて、以下のいずれかを発出することができる。
- 警告および戒告:軽度な違反または初犯者に用いられる
- 遵守命令:管理者または処理者に対し、定められた期間内に処理を適合させるよう要求する
- 一時的または恒久的な処理禁止:特定の処理活動を禁止する
- データ消去命令:GDPR違反により収集された個人データの削除を要求する
- データ移転の停止:第三国への個人データの移転を禁止する
- データ主体への通知命令:管理者が通知を怠った場合に個人への通知を要求する
処理禁止および移転停止は、影響を受ける活動に事業が依存する企業にとって存立にかかわるものとなり得る。TikTokがアイルランドDPCの移転停止命令について裁判所の一時停止を得たのは、中国への移転を停止することが5億3,000万ユーロの制裁金よりも業務上大きな打撃を与えると考えられたためである。この命令には金銭は関わっておらず、訴訟を動かしたのは業務上の帰結であった。
第82条に基づく民事賠償
第82条は、GDPR違反の結果として物的または非物的損害を被ったあらゆる者に対し、責任のある管理者または処理者から賠償を求める権利を与えている。管理者および関与するすべての処理者は連帯して責任を負い、処理者は自らに過失がないことを示す場合に限り責任を免れることができる。
CJEUは、2023年5月の**事件C-300/21(Österreichische Post)**判決において第82条の範囲を明確化した。3つの原則が示された。
3つの条件がすべて満たされなければならない:GDPR違反、実際に被った損害、違反と損害との間の因果関係である。損害が証明されない違反は、請求者に賠償を受ける権利を与えない。
非物的損害について最低限の重大性の閾値はない。第82条は、精神的苦痛や不安が賠償の対象となるために一定の深刻さに達することを要求しない。加盟国は独自の重大性の閾値を課すことはできない。
賠償額は、EUの同等性および実効性の原則に従いつつ、国内法によって決定される。裁定額は加盟国間で大きく異なる。
実務上、第82条の請求は、規制執行と並行して、集団訴訟手続を通じて、または独立の民事訴訟において提起される。規制上の制裁金と民事賠償請求は同時に進行することができ、同一のGDPR違反について二重の責任リスクを生じさせる。
執行動向:2024年から2026年
2025年の統計とEDPB年次報告書
EDPBは2026年4月に2025年年次報告書を公表した。国内データ保護当局は、2025年中に合計11億5,000万ユーロの制裁金を科したが、そのほぼ全ては、アイルランドDPCのTikTok決定によるものである。2018年5月以降の累計は、2,800件を超える処分で71億ユーロを超えた。
EDPBの2025年協調執行枠組み(CEF)アクションは、第17条に基づく消去権に焦点を当てた。32のDPAが参加し、中小企業から大企業、公的団体に至るヨーロッパ全域の764の管理者を調査した。
CEF 2026アクションは、第13条および第14条に基づく透明性および情報提供義務を対象とし、組織がデータ主体に明確、完全、アクセス可能なプライバシー通知を提供しているかどうかを検証している。一般的または不完全なプライバシーポリシーを持つ組織は、2026年に精査が強化されることになる。
執行が集中している領域
2024年から2026年にかけて、複数のパターンが執行を特徴づけている。
国際データ移転は依然として最もリスクの高い領域である。 制裁金上位3件はいずれも、十分性認定のない国へのEU個人データの移転に関わるものである。2023年7月に採択されたEU・米国間データプライバシーフレームワークは、認証された企業にとって法的なメカニズムを提供しているが、その有効性はEUの裁判所で依然として争われている。中国その他の国への移転については、十分性認定は存在せず、精査は激しい。
行動ターゲティング広告と無効な法的根拠。 「正当な利益」および「契約上の必要性」が行動プロファイリングとターゲティング広告を支えることができないという判断は、Meta、Amazon、LinkedInその他に対して重大な制裁金を生じさせてきた。収益モデルが行動ターゲティング広告に依存する企業は、特定の有効な同意を取得しない限り、継続的なリスクにさらされている。
AIとデータ処理。 EDPBの2025年4月の意見は、大規模言語モデルがGDPR準拠の匿名化を達成することはまれであることを明確にした。個人データを処理する第三者AIツールを導入する管理者は、その法的根拠を評価し、該当する場合は正当な利益評価を文書化しなければならない。
単なるインシデントの結果ではなくガバナンスの失敗。 執行は、実際に侵害が発生したかどうかにかかわらず、構造的な不備(暗号化の欠如、脆弱なベンダー管理、不十分なアクセス制御)を罰する方向にシフトしている。
GDPRオムニバスIV:提案されている改革
2025年11月、欧州委員会は、行政負担の軽減を目的とした対象を絞った改正を提案するオムニバスIVパッケージを公表した。主な提案には、第30条に基づく記録保持の適用除外を(現在の250人未満から)従業員750人未満の組織に拡大すること、およびSME向け規定を「小規模中堅企業」に拡大することが含まれる。
EDPBおよびEDPSは一部の側面を歓迎しつつ、明確化を求めた。このパッケージは、早くとも2026年後半までは正式に採択される見込みはない。現行の提案では第83条に基づく制裁金構造は影響を受けない。
GDPR制裁金のリスクを低減する方法
監督機関は、制裁金を算定する際にコンプライアンス姿勢、協力、是正措置を考慮する。以下のステップは、違反を防止すると同時に、違反が発生した場合の制裁金を軽減する。
すべてを文書化する
GDPRのアカウンタビリティ原則(第5条(2))は、組織に単に遵守することだけでなく、遵守を証明することを求めている。処理活動記録、完了したDPIA、法的根拠の評価、職員研修記録、第28条条項を含むベンダー契約、最新のプライバシーポリシーを維持する。文書化は誠実な取り組みの証拠であり、軽減事由として直接機能する。
インシデントに直ちに対応する
侵害またはコンプライアンス上の不備が発生した場合、速さが重要である。72時間の侵害通知期間は法的義務であるが、迅速な対応もまた軽減要素となる。即時の是正、監督機関への迅速な通知、透明なコミュニケーションはいずれも組織に有利に働く。詳細な報告プロセスについては、GDPR 72時間侵害通知ルールのガイドを参照されたい。
監督機関の調査に協力する
情報要求に迅速に対応し、検査のためのアクセスを許可し、推奨される変更を実施する組織は、あらゆる段階で遅延や争訟を行う組織よりも一貫して低い制裁金を受ける。全面的な協力は、第83条(2)(f)に基づき明示的に軽減事由として列挙されている。
国際データ移転を監査する
GDPR上位3件の制裁金がいずれも国境を越えた移転に関わることを踏まえると、すべての外向きのデータフローをマッピングし、有効な移転メカニズムを検証することは優先度の高いコンプライアンス課題である。標準契約条項には、十分性認定のない国への移転について移転影響評価を伴わせなければならない。
広告・分析のための法的根拠を検証する
Meta、Amazon、LinkedInその他に対する無効な法的根拠についての制裁金の波は、正当な利益がプロファイリングおよびターゲティング広告のセーフハーバーではないことを示している。分析または広告のためにこの根拠に依拠する組織は、GDPR執行に精通した弁護士による評価の見直しを受けるべきである。
職員研修とプライバシー・バイ・デザインに投資する
多くの違反は、従業員の誤りや、データ最小化原則を組み込まずに構築された製品に起因する。定期的で文書化された研修、および新製品・新機能のプライバシー・バイ・デザインによる見直しは、違反の可能性と、Deutsche Wohnen判決の下で制裁金を加重させる過失認定の両方を低減する。
GDPRコンプライアンスチェックリストを活用する
当社のGDPRコンプライアンスチェックリストは、主要な義務を構造化された形式ですべてカバーしている。文書化されたコンプライアンスプログラムを有する組織は、監督機関が求めるアカウンタビリティを証明する上でより有利な立場にある。
その他のGDPRガイド
- GDPRとは何か 規則とその範囲の包括的な概要
- GDPRコンプライアンスチェックリスト 組織向けのステップバイステップのコンプライアンスガイド
- GDPRデータ主体の権利 8つの個人の権利とそれらへの対応方法
- GDPR同意要件 第7条に基づく有効な同意の要件
- GDPR侵害通知72時間ルール 侵害報告義務および期限
- 中小企業向けGDPR 中小企業向けのコンプライアンスガイダンス
- EUデータプライバシー法 EUデータ保護の枠組みの全体像
Frequently Asked Questions
GDPRの最大の制裁金はいくらですか?
GDPRの最大の制裁金は、2,000万ユーロまたは組織の前会計年度における全世界年間総売上高の4%のいずれか高い方である。この上位階層の制裁は、第83条(5)に基づく中核的な処理原則、データ主体の権利、同意規則、国際移転要件の違反に適用される。記録保持や DPO任命の不備といった下位階層の違反については、上限は1,000万ユーロまたは全世界売上高の2%である。
これまでに科された最大のGDPR制裁金は何ですか?
確定した最大のGDPR制裁金は、2023年5月にアイルランドのデータ保護委員会がMeta Platforms Ireland Limitedに科した12億ユーロで、EU Facebook利用者データを適切な保護措置なしに米国に移転したことによるものである。この制裁金はEDPBの拘束力ある決定に由来する。Metaは EU一般裁判所に控訴しており、控訴は2026年時点でも係属中である。かつて2番目に大きかったAmazonの7億4,600万ユーロの制裁金は、2026年3月にルクセンブルクの裁判所によって無効化され、再評価のため規制当局に差し戻された。Amazonは依然として新たな制裁金に直面する可能性がある。
規則違反の意図がなくても企業はGDPRの下で制裁されますか?
されない。CJEUは2023年12月のDeutsche Wohnen判決(事件C-807/21)において、GDPRの制裁金は違反が故意または過失によって行われたことを要求すると確認した。厳格責任は第83条と両立しない。ただし、過失の基準は低い。合理的なコンプライアンス措置を講じなかったことは一般的にこれを満たす。真に文書化された遵守の取り組みを行いつつも過ちを犯した組織には、制裁金の軽減を求める有効な主張がある。
GDPRの制裁金はどのように算定されますか?
監督機関はEDPBガイドライン04/2022に従い、これは5段階のプロセスを定めている。違反を特定し、複数の違反について第83条(3)を評価する。性質、重大性、継続期間、組織の売上高に基づき基準額を決定する。故意性、協力、過去の違反、データカテゴリー、是正措置を含む加重・軽減事由を評価する。該当する階層の法定上限を適用する。最終的な金額が有効、比例的、かつ抑止的であるかを評価する。
GDPRの制裁金はEU域外の企業にも適用されますか?
適用される。GDPRは、EU域内の人々の個人データを処理する世界中のあらゆる組織に適用され、制裁金は非EU企業にも等しく適用される。TikTok(中国資本、アイルランドDPCを通じて5億3,000万ユーロ)、Amazon(米国拠点、ルクセンブルクCNPDを通じて7億4,600万ユーロ、現在は控訴で無効化)、Uber(米国拠点、オランダAPを通じて2億9,000万ユーロ)はいずれも、EU域外に本社を置くにもかかわらず大規模な制裁金を受けている。
Amazonの7億4,600万ユーロのGDPR制裁金はどうなりましたか?
行動ターゲティング広告に無効な法的根拠を用いたことについて2021年にルクセンブルクのCNPDが科したAmazonの7億4,600万ユーロの制裁金は、2026年3月12日にルクセンブルクの行政裁判所によって無効とされた。裁判所は、CNPDが、Amazonが故意または過失で行動したかどうか(CJEUがDeutsche Wohnen判決で定めた故意・過失要件)を分析しておらず、より軽度な措置が適切であったかどうかを検討していなかったと認定した。Amazonの法的根拠が無効であったという実体的な認定は維持された。事件は分析をやり直すためCNPDに差し戻された。Amazonは依然として新たな制裁金に直面する可能性がある。
個人はGDPR違反について訴訟を提起できますか?
できる。第82条は、GDPR違反によって生じた物的・非物的損害について、管理者または処理者から賠償を求める権利を個人に与えている。CJEUはÖsterreichische Post事件(C-300/21、2023年5月)において、最低限の重大性の閾値はなく、証明されたいかなる苦痛も賠償の対象となり得ることを確認した。ただし、請求者は実際の違反、実際の損害、および因果関係を証明しなければならない。規制執行と民事請求は同時に進行することができる。
GDPR制裁金を最も多く科しているEU加盟国はどこですか?
スペインのデータ保護庁(AEPD)は、2018年以降1,000件を超える個別の制裁金を科しており、件数では最多で、主に国内企業を対象とした小規模な制裁金が中心である。アイルランドのデータ保護委員会は、Meta、TikTok、LinkedIn、Google、Appleを含む大手テクノロジー企業がダブリンに欧州本社を置いており、ワンストップショップメカニズムの下でアイルランドDPCがそれらの主導的な監督機関となっているため、累計制裁金額では40億ユーロ超で首位に立っている。
制裁金につながる最も一般的なGDPR違反は何ですか?
制裁金を生じさせる最も一般的な違反は、第6条に基づく有効な法的根拠なしのデータ処理、データ侵害につながる不十分な技術的セキュリティ措置、適切な保護措置のない違法な国際データ移転、法定期限内にデータ主体の権利要求に対応しなかったこと、プライバシー通知における透明性の不足である。最大級の制裁金は、国際移転と行動ターゲティング広告に対する無効な法的根拠に集中してきた。
Sources and References
- GDPR全文 - 第83条および第82条(eur-lex.europa.eu).gov
- EDPBガイドライン04/2022、行政制裁金の算定について(最終版、2023年6月)(edpb.europa.eu).gov
- EDPB - Facebookに対する12億ユーロの制裁金(拘束力ある決定、2023年5月)(edpb.europa.eu).gov
- EDPB - アイルランド監督機関がTikTokに5億3,000万ユーロの制裁金(2025年5月)(edpb.europa.eu).gov
- アイルランドDPC - TikTok 5億3,000万ユーロの決定(2025年5月)(dataprotection.ie).gov
- オランダAP - Uberに2億9,000万ユーロの制裁金(2024年8月)(autoriteitpersoonsgegevens.nl).gov
- アイルランドDPC - LinkedInに3億1,000万ユーロの制裁金(2024年10月)(dataprotection.ie).gov
- CJEU - C-807/21 Deutsche Wohnen判決(2023年12月)(curia.europa.eu).gov
- CJEU - C-300/21 Österreichische Post判決(2023年5月)(curia.europa.eu).gov
- EDPB CEF 2026 - 透明性に関する協調執行(edpb.europa.eu).gov
- 欧州委員会 - 執行および制裁の解説(commission.europa.eu).gov
- EDPBおよびEDPSによるGDPRオムニバスIV簡素化提案に関する意見(2025年)(edpb.europa.eu).gov
- GDPR執行トラッカー - 制裁金データベース(enforcementtracker.com)
- DLA Piper GDPR制裁金・データ侵害調査 2026年1月(dlapiper.com)