中小企業のためのGDPR:SME向けコンプライアンスガイド(2026年版)

GDPR(EU一般データ保護規則)は、EU域内の個人のデータを取り扱うすべての中小企業に適用され、企業規模による包括的な適用除外は存在しない。第30条(5)項は、従業員250人未満の組織に対して限定的な記録義務の適用除外を定めているが、それが認められるのは処理が臨時的であり、リスクが低く、特別カテゴリーのデータを含まない場合に限られる。ほとんどの中小企業は、この三つの条件をすべて満たすことができない。
GDPRは、欧州連合域内の人々の個人データを取り扱うすべての組織に適用される。ウィーンの個人事業主、ワルシャワの従業員10名のEコマース店舗、そして欧州の顧客を持つ米国拠点のSaaSスタートアップは、いずれもGDPRの適用対象となる。規模の大小は適用の有無を左右しない。
とはいえ、GDPRは一律に同じ負担を課す規制ではない。いくつかの規定は従業員数のみではなく処理の性質や規模に応じて調整されており、EUは近年、小規模組織に対する行政上の負担をさらに軽減する提案も行っている。どの義務が全面的に適用され、どの義務が軽減され、どの部分が現在改正の対象となっているのかを理解することが、中小企業にとって実務上の出発点となる。
本稿では、貴社のSMEに適用される内容、第30条(5)項の記録義務の適用除外とその実際の限界、DPOに関する論点、2025年11月のDigital Omnibus提案、業種別の具体例、低コストで実施できる実務的な対応策、そして中小企業が知っておくべき最近の執行事例を扱う。規則全体の基礎的な概要については、GDPRとは何かを参照されたい。
本稿は情報提供のみを目的とするものであり、法的助言ではない。個別の状況に応じた助言については、資格を有するデータ保護分野の弁護士またはプライバシー専門家に相談されたい。
GDPRは貴社の中小企業にも適用されるか
端的に言えば、EU域内の個人に関連する個人データを何らかの形で取り扱っているのであれば、ほぼ間違いなく適用される。
欧州委員会はこの点について明確に述べている。GDPRの適用の有無は、企業の規模や所在地ではなく、事業活動の性質によって決まる。規則第3条のもとでは、以下のいずれかに該当する場合にGDPRが適用される。
- EU域内に拠点を置き、その事業活動の過程で個人データを処理している場合。処理そのものがどこで行われているかは問わない。
- EU域外に拠点を置いているが、EU域内の個人に商品またはサービスを提供している場合。無料アプリ、EUからの注文を受け付けるウェブサイト、EUの読者向けに発行するニュースレターなどを含む。
- EU域外に拠点を置いているが、ウェブサイトの解析ツール、広告用ピクセル、位置情報のトラッキングなどを通じてEU域内の個人の行動を監視している場合。
中小企業にとって「個人データ」に該当するもの
ほとんどの中小企業は、自覚している以上に多くの個人データを取り扱っている。GDPR上の義務を発生させる典型的な処理活動には、次のようなものがある。
- 顧客の氏名、メールアドレス、住所、購入履歴
- 従業員および業務委託先の記録:給与データ、人事ファイル、人事評価の記録、応募者の履歴書
- ウェブサイトのクッキー、アクセス解析、行動ターゲティング広告用のピクセル
- メールマーケティングの購読者リスト
- 事業所内またはその周辺にいる人物を映すCCTVおよび防犯カメラの映像
- オンライン予約システム
- 決済記録(決済処理を第三者が行っている場合も含む)
- EUのユーザーを対象としたソーシャルメディア広告
これらのいずれかをEU域内の個人に関連して処理している場合、貴社はGDPRの適用対象となる。

第30条(5)項の記録義務の適用除外:実際に対象となる範囲
GDPR第30条は、管理者および処理者に対し、処理活動の記録を作成・維持することを義務付けている。第30条(5)項は、小規模な組織に対して部分的な適用除外を定めている。
「第1項および第2項に規定する義務は、従業員250人未満の企業または組織については、その行う処理がデータ主体の権利および自由に対するリスクを生じさせるおそれがある場合、処理が臨時的でない場合、または処理が第9条(1)項に規定する特別カテゴリーのデータもしくは第10条に規定する有罪判決および犯罪に関する個人データを含む場合を除き、適用しない。」
平易に言えば、従業員250人未満の組織が記録作成義務を免除されるのは、次の三つの条件がすべて同時に満たされる場合に限られる。
- 処理が本人の権利および自由にリスクを生じさせるおそれが低いこと。
- 処理が臨時的であること。日常的または組織的に行われるものでないこと。
- 処理に特別カテゴリーのデータ(健康、生体、遺伝、人種的・民族的出自、政治的見解、宗教的信条、労働組合への加入、性的指向に関するデータ)または有罪判決に関するデータが含まれないこと。
EDPB(欧州データ保護会議)による第30条(5)項の適用除外に関するポジションペーパーは、この適用除外が限定的なものであることを確認している。顧客記録の処理、給与管理、メールマーケティングリストの運用、アクセス解析を備えたウェブサイトの運営は、いずれも「臨時的」という基準を満たさない。これらは反復的かつ組織的な活動であり、適用除外の対象とはならない。
実務上の実態
この適用除外は、たとえば小規模な組織が一度限りのイベントの参加者リストを臨時に処理し、それ以外には個人データを日常的に扱わないといった、真に一回限りの処理を想定したものである。実務上、事業を営む企業でこの条件を完全に満たすものはほとんど存在しない。
**技術的に適用除外に該当するかどうかにかかわらず、処理活動の記録を作成しておくことを推奨する。**これはアカウンタビリティ(説明責任)を果たす証拠となり、監督機関から照会を受けた際の参照資料となり、データ主体からの請求を管理するためのツールともなる。どのデータを、なぜ、どこに保存し、誰がアクセスでき、どのくらいの期間保有するのかをまとめた簡単な表計算シートで、ほとんどの中小企業には十分である。
中小企業がデータ保護責任者を必要とする場合
第37条に基づくDPOの選任義務は、従業員数とは連動していない。中核的な処理活動の性質と規模によって発生する。DPOの選任が義務となるのは、次の三つの場合である。
- 組織が公的機関または公的団体である場合(ほとんどの中小企業には該当しない)。
- 組織の中核的な活動が、大規模かつ定期的・組織的な個人のモニタリングを必要とする場合。たとえば、行動ターゲティング広告技術や大規模なユーザー監視を主力製品とする事業などが該当する。
- 中核的な活動が、特別カテゴリーのデータ(健康、生体情報、性的指向など)の大規模な処理、または有罪判決に関する個人データの処理を伴う場合。
EDPBのSME向けDPOガイドは明確に述べている。小規模な組織がデータ保護責任者を必要とする可能性は低い。地元の小売店、小規模なマーケティング会社、従業員10名のソフトウェア企業、パートナー2名の法律事務所は、いずれもこれらの基準に該当しない。
業種による違い
業種によっては、DPOの要否が必ずしも明確でない中小企業も存在する。
- 小規模な診療所・医療機関: 患者の健康データの処理は、第9条に基づく特別カテゴリーの処理に当たる。それが「大規模」に該当するかどうかは、量と状況によって判断される。地域の患者を診療する医師2名の診療所は、一般に大規模には当たらない。数万件の患者記録を有する地域の診療所チェーンは、より微妙な判断を要する。多くのEU加盟国が、医療提供者向けの業種別ガイダンスを公表している。
- HRソフトウェアのスタートアップ: 自社製品が大規模な顧客組織の従業員データを組織的に処理する場合、自社の中核的な活動が特別カテゴリーのデータの大規模な処理に該当する可能性がある。個別に専門家の助言を求めるべきである。
- マーケティング会社: 顧客のために大規模なプロファイリングや行動ターゲティングを行う場合、典型的なSMEよりも組織的モニタリングの基準に近づく可能性がある。
任意による選任
義務がない場合でも、任意でDPOを選任することは可能である。その場合、DPOの独立性、必要な資源、職務、解任からの保護に関するGDPRの規定がすべて自動的に適用される。多くの中小企業にとっては、正式なDPOという肩書を用いずに、社内でプライバシー担当者(データ保護に責任を持ち、問い合わせや請求への対応を行う担当者)を指定するほうが実務的である。

2025年11月のDigital Omnibus:SME向け簡素化の提案
欧州委員会は2025年11月19日、Digital Omnibusパッケージを公表した。これはGDPR、ePrivacy指令、データ法、NIS2指令、AI法を対象とする的を絞った改正の一式である。このパッケージは、欧州企業に対する規制上の負担を軽減するという委員会のより広範な競争力強化の政策課題の一環であり、とりわけ中小企業(SME)が優先事項として位置付けられている。
欧州委員会が提案したGDPR第30条(5)項の改正内容
委員会の提案は、記録義務の適用除外について二つの重要な変更を行うものである。
- 従業員数の基準を引き上げる。 250人未満から750人未満に引き上げ、委員会が「スモール・ミッドキャップ企業(SMC)」と呼ぶ区分にまで適用除外の対象を拡大する。
- 適用条件を再構成する。 現行の三つの除外要件(リスク、非臨時性、特別カテゴリーのデータ)に代えて、第35条(DPIA、データ保護影響評価の基準)にいう「高いリスクを生じさせるおそれがある」処理でない限り、適用除外が認められることになる。この提案では、「臨時的な処理」という要件、および特別カテゴリーのデータを独立した除外要件とする規定が削除される。
EU理事会の立場(2025年9月)
委員会が11月に提案を公表する前、EU理事会は2025年9月にさらに踏み込んだ立場を提示していた。それによれば、高リスクの処理を行う従業員1,000人未満の組織は、高いリスクを生じさせるおそれのある特定の処理活動についてのみ記録を作成すればよく、すべての処理についての完全な記録は不要とされる。
EDPBおよびEDPSの反応
EDPB(欧州データ保護会議)とEDPS(欧州データ保護監督機関)は共同声明において、この簡素化を歓迎し、SMEの行政負担を軽減するという全体的な目的を支持した。両機関は、この提案が的を絞った限定的なものであると指摘し、アカウンタビリティ義務との関係についてさらなる明確化を求めた。重要な点として、透明性、適法根拠、データ主体の権利、セキュリティといったその他の義務は、記録作成の簡素化にかかわらず全面的に適用され続けることを強調している。
現在の状況:交渉継続中で、まだ法律にはなっていない
2026年5月時点で、Digital OmnibusによるGDPR改正案は、立法手続きの進捗表のもと、欧州議会と理事会の間で交渉が続いている。三者協議(トリローグ)は2026年を通じて継続する見込みである。最終的な採択、および改正の発効前に設けられる可能性のある移行期間を踏まえると、現行の第30条(5)項の条文(250人という従業員基準と三つの除外要件)が、現時点で適用される法律である。
提案されている変更を前提にコンプライアンス対応を見直すべきではない。 改正が正式に採択され、発効するまでは、現行のルールのもとで対応を継続すること。
すべての中小企業に全面的に適用される中核的な義務
一部の行政上の義務は規模に応じて調整されているが、以下のGDPR上の要件は、規模を問わずすべての組織に軽減なく適用される。
1. あらゆる処理活動に対する適法根拠
すべての処理活動には、第6条に基づく適法根拠を文書化しておく必要がある。中小企業に最も関係の深い三つの根拠は、次のとおりである。
- 契約の履行に必要な処理(第6条(1)(b)): 本人との契約を履行するために必要な処理。たとえば、注文の配送のために配送先住所を処理する場合や、従業員への給与支払いのために給与データを処理する場合など。
- 正当な利益(第6条(1)(f)): 本人の権利を上回らない、真正かつ均衡の取れた事業上の利益。たとえば、既存顧客への基本的なダイレクトマーケティング、不正防止、ネットワークセキュリティなどが該当する。正当な利益に関する評価を文書化しておく必要がある。
- 同意(第6条(1)(a)): 本人が、明確に示された特定の目的について自由な意思でオプトインすること。同意はいつでも撤回可能であり、継続的な管理義務を発生させる。他の根拠を用いるほうが単純かつ持続的である場合でも、中小企業では同意が過剰に用いられる傾向がある。
同意がいつ適切な根拠となり、いつならないのかについての詳しい解説は、GDPRにおける同意の要件を参照されたい。
2. プライバシー通知
データを収集するすべての本人に対し、収集の時点で、事業者が誰であるか、どのようなデータを収集するのか、その理由、適法根拠、保有期間、共有先、および本人の権利について知らせなければならない。これはウェブサイト、店頭で使用する用紙、雇用関係の書類、その他あらゆるデータ収集の場面に当てはまる。
プライバシー通知は長文である必要はない。明確で、アクセスしやすく、内容が網羅されていればよい。EDPBの実践的リソースのページでは、無料のテンプレートが提供されている。
3. データ主体の権利
GDPRが定める8つの個人の権利は、すべての組織に適用される。中小企業は次のことを行わなければならない。
- 本人が請求を行うための、明確でアクセスしやすい手段を用意すること(メールで足りる)。
- 請求を把握し、暦月で1か月以内に対応すること(複雑な請求については、請求者への通知を条件に2か月延長可能)。
- 開示請求に対する最初の写しは無料で提供すること。
- 削除、訂正、異議申立て、データポータビリティの請求に適切に対応し、その対応を文書化すること。
あるルーマニア企業は、開示請求に3か月間対応せず、その後も不完全な情報しか提供しなかったことを理由に15,000ユーロの制裁金を科された。これは、中小企業が実際に摘発される典型的な執行事例である。
4. 技術的・組織的セキュリティ対策
第32条は、リスクおよびデータの性質に見合った適切なセキュリティ対策を講じることを求めている。均衡性とは、従業員2名の会計事務所にとって適切な対策と、従業員200名の医療機関にとって適切な対策とが異なることを意味するが、いずれの場合も何らかの対策を講じておく必要がある。
中小企業にとっての実務上の基本的な対策は、次のとおりである。
- すべての業務用アカウント(メール、クラウドストレージ、会計ソフトなど)で多要素認証を有効にする。
- パスワード管理ツールを使用し、強固で使い回しのないパスワードを徹底する。
- 個人データを含むノートパソコン、外付けドライブ、モバイル端末を暗号化する。
- 個人データへのアクセスを、業務上真に必要なスタッフのみに限定する。
- ソフトウェアおよびOSのアップデートを速やかに適用する。
- 主データとは別の場所に、定期的にテスト済みのバックアップを保管する。
- 個人データの取り扱いに関する方針を文書化し、スタッフに周知徹底する。
- 個人情報を含む紙媒体のファイルは施錠して保管する。
5. データ侵害の通知
個人データの侵害が発生し、それが本人にリスクを生じさせるおそれがある場合、その事実を認識してから72時間以内に監督機関に通知しなければならない。侵害が本人に高いリスクを生じさせるおそれがある場合は、影響を受ける本人にも直接通知しなければならない。手続きの詳細については、GDPRデータ侵害通知:72時間ルールを参照されたい。
中小企業によくある誤解は、大規模なハッキングだけが侵害に該当すると考えることである。暗号化されていない顧客データが入ったノートパソコンの盗難、機微情報を含むメールの誤送信、共有ドライブへのランサムウェア攻撃は、いずれも通知が必要となりうるデータ侵害に該当する。
6. 委託先とのデータ処理契約
第28条のもとでは、自社に代わって個人データを処理する第三者(クラウドホスティング事業者、メールマーケティングのプラットフォーム、給与計算サービス、会計ソフト、決済代行業者、ウェブサイトの解析ツールなど)にデータを共有する場合、データ処理契約を締結しておく必要がある。主要な事業者の多くは、現在ではGDPRに準拠したDPA(データ処理契約)を標準の利用規約に含めているか、請求に応じて提供している。これらを確認し、契約が締結されていることを確かめること。

実務におけるGDPR:業種別の三つの事例
小規模なEコマース店舗(従業員10名)
EU域内の顧客に衣料品を販売する従業員10名のオンライン小売業者は、日常的に顧客の氏名、住所、メールアドレス、購入履歴を処理している。この処理は臨時的なものではなく、すべての取引の中核をなすものである。
主な義務は次のとおりである。注文処理のための適法根拠(契約の履行)、マーケティングメールのための別個の根拠(同意または正当な利益)、アクセス解析・広告用ピクセルのためのクッキー同意バナー、ウェブサイト上のプライバシー通知、決済代行業者およびメール配信プラットフォームとのデータ処理契約、そして開示請求・削除請求に対応するための明確な手続きである。
処理が臨時的でないため、第30条(5)項の適用除外は適用されない。この小売業者は記録用の表計算シートを維持すべきである。DPOの選任は不要である。権利請求への対応は、指定されたスタッフが担当する。
地域の診療所・かかりつけ医の診療所(スタッフ5名)
小規模な医療機関は、日常的に患者の健康データを処理する。健康データは第9条に基づく特別カテゴリーのデータであり、第6条と第9条(2)項の双方に基づく適法根拠が必要となる。患者を診療する医療提供者にとって適切な第9条上の根拠は、通常、第9条(2)(h)の「医学的診断および治療」である。
処理が特別カテゴリーのデータ(健康記録)を含むため、第30条(5)項の適用除外は適用されない。この診療所は処理の完全な記録を維持しなければならない。DPOの選任が必要かどうかは、その文脈における処理が「大規模」に当たるかどうかによる。多くのEUのデータ保護当局は、地域の小規模な診療所は大規模の基準を満たさないと見なしているが、加盟国ごとのガイダンスには差がある。
追加で求められる主な義務は次のとおりである。患者記録への厳格なアクセス制御、機微な健康データにふさわしいセキュリティ対策、利用する第三者システム(検査結果システム、予約プラットフォームなど)とのデータ共有契約、そして患者とのメールでのやり取りに対する慎重な取り扱いである。
小規模なデジタルマーケティング会社(従業員15名)
キャンペーンを運用し、クライアントに代わってEUの消費者データを処理するマーケティング会社は、より複雑な立場に置かれる。この会社は、自社のスタッフデータや取引先の連絡先については管理者として、クライアントに代わってクライアントのデータを取り扱う際には処理者として、両方の立場を兼ねる。
処理者としてこの会社は、処理の性質、目的、期間を定めたデータ処理契約をすべてのクライアントと締結すること、管理者の指示に従って適切なセキュリティ対策を実施すること、侵害が発生した場合は速やかにクライアントに通知すること、クライアントの承認なく再委託先を利用しないことが求められる。
トラッキングピクセルやクッキーを用いた行動ターゲティング広告のキャンペーンについては、クッキーに関するGDPRの同意要件が適用される。また、Google広告を利用する場合、ユーザーの同意選択を正しく伝達するために、2024年3月時点でConsent Mode v2の実装が必要となる点にも留意すべきである。
SMEによくあるコンプライアンス上の誤り
規模が適用除外を生むという思い込み
「当社は小さな会社だから」という主張は、GDPRのもとでは法的な抗弁にならない。監督機関は、基本的な違反について個人事業主やマイクロビジネスにも制裁金を科してきた。制裁金は均衡性の原則に基づいて算定されるが、適用されないわけではない。
適法根拠としての同意の過剰利用
多くの中小企業は、安全に思えるという理由で、あらゆるフォームに同意のチェックボックスを追加する。しかし実際には、同意は誤った根拠であることが多い。同意は撤回権を発生させ、その管理は複雑であり、また本人に真に自由な選択がある場合にのみ用いるべきものである。契約の履行または正当な利益に依拠できる場合には、それらの根拠のほうが実務的かつ持続的であることが多い。
無効なクッキー同意
フッターに「本サイトを利用することでクッキーに同意したものとみなします」と記載するだけでは、有効なGDPR上の同意とはならない。必須ではないクッキーについての同意には、クッキーが設定される前にユーザーが明確に受諾または拒否できるオプトインの仕組みが必要である。あらかじめチェックが入ったボックスや黙示の同意は、規則に適合しない。
データ保有方針の欠如
第5条(1)(e)に定める保存期間の制限の原則は、個人データを必要以上の期間保有してはならないことを求めている。顧客記録を無期限に保有し続けたり、退職した従業員のファイルを一切削除しなかったりすることは、この原則への違反となる。データの種類ごとに保有期間を定め、その期間が満了した際にデータを削除する仕組みを整備すべきである。
従業員データの見落とし
GDPRは、顧客データと同様に、スタッフのデータにも等しく適用される。従業員の記録、給与情報、懲戒に関するファイル、応募者から提出された履歴書は、いずれも同様の保護を必要とする。多くの中小企業は、コンプライアンス対応の重点を顧客データに置き、人事上の義務を完全に見落としている。
侵害対応計画の欠如
計画がなければ、スタッフがどう対応すべきか検討している間に、72時間の通知期限を超過してしまう可能性が高い。侵害の検知方法、深刻度の評価方法、通知の責任者、封じ込めと記録の方法をまとめた基本的な文書化された手続きは、作成に費用はかからず、制裁金を防ぐことにもつながる。
委託先とのDPA(データ処理契約)の欠如
データ処理契約が締結されているかを確認しないまま、クラウドストレージ、メールマーケティングツール、給与計算ソフトを利用していることは、よくある不備である。これは書類の欠如を証明しやすいため、監督機関にとっても摘発しやすい対象となる。
中小企業のための低コストなコンプライアンス対応策
コンプライアンス対応に大きな予算や専門的なソフトウェアは必要ない。以下の六つのステップは、最小限のコストで優先度の高いGDPR上の要件に対応するものである。
ステップ1:データの棚卸し(無料): 取り扱うすべての種類の個人データを一覧化する。データの内容、誰のものか、保有する理由、保存場所、アクセス可能な者、保有期間を記載する。表計算シートで十分である。新しいツールや業務プロセスを導入するたびに更新すること。
ステップ2:プライバシー通知(無料): 第13条および第14条で求められるすべての情報を含む、平易な言葉で書かれたプライバシー通知を作成する。ウェブサイトに掲載し、すべてのデータ収集の場面で確認できるようにする。出発点としてEDPBの無料テンプレートを活用するとよい。
ステップ3:クッキー同意(無料から低コスト): ウェブサイトが必須ではないクッキー(アクセス解析、広告、ソーシャルメディアのボタンなど)を使用している場合、規則に適合したオプトインバナーを導入する。GDPRに準拠した同意管理を提供する無料または低コストのツールがいくつか存在する。
ステップ4:委託先のDPAの確認(無料): 利用しているサービス事業者の一覧を確認し、自社に代わって個人データを取り扱う事業者それぞれとデータ処理契約が締結されていることを確かめる。主要な事業者の多くは、利用規約の中で、または請求に応じてDPAを提供している。
ステップ5:基本的なセキュリティ対策(無料から低コスト): すべての業務用アカウントで多要素認証を有効にする。パスワード管理ツールを導入する。端末を暗号化する。ソフトウェアを常に最新の状態に保つ。これらの対策の多くは無料であり、中小企業で最も多く見られる侵害の経路に対応するものである。
ステップ6:権利請求・侵害対応の手続き(無料): データ主体からの請求に対応する担当者を指定する。請求の種類、受付日、対応完了日を記録する簡単な台帳を作成する。72時間の通知要件を含む、1ページの侵害対応チェックリストを作成する。
SMEのためのGDPR義務の一覧
| 義務 | SMEへの適用 | 備考 |
|---|---|---|
| 処理の適法根拠 | 適用される | 活動ごとに文書化する |
| プライバシー通知 | 適用される | 明確でアクセスしやすいこと |
| データ主体の権利(8つの権利) | 適用される | 1か月以内の対応期限 |
| 処理記録(第30条) | 通常は適用される | 適用除外は限定的であり、いずれにせよ記録を保持すべき |
| セキュリティ対策(第32条) | 適用される | リスクに見合った内容とする |
| 侵害通知(72時間) | 適用される | 侵害が本人にリスクを及ぼす場合 |
| DPOの選任 | まれにしか適用されない | ほとんどのSMEには不要 |
| DPIA(データ保護影響評価) | 場合による | 高リスクの処理のみ |
| データ処理契約 | 適用される | データを取り扱うすべての処理者との間で |
| 国際移転の仕組み | 適用される | EU/EEA域外にデータを送る場合 |
| クッキー同意 | 適用される | 必須ではないクッキーについて |
中小企業向けの無料公式リソース
EDPB中小企業向けデータ保護ガイド: EDPBのSME向けガイドは、最も包括的な無料の公式リソースである。GDPRの主要な論点すべてを、動画、インタラクティブなフローチャート、インフォグラフィック、実例とともに解説している。実践的リソースのページには、処理記録、プライバシー通知、同意書、データ処理契約のダウンロード可能なテンプレートが用意されている。2024年時点でEUの17言語に対応している。
ICO(英国情報コミッショナー事務局)による小規模組織向けアドバイス: 英国のICOは、中小規模組織向けのガイダンス、および個別のアクションプランを生成するデータ保護自己診断ツールを提供している。
Your Europeビジネスポータル: Your Europeポータルは、単一市場全体で事業を展開する企業向けに、EUのすべての公用語でGDPRガイダンスを提供している。
各国の監督機関: EU加盟各国のデータ保護当局(DPA)は、それぞれ独自のSME向けリソースを公表している。アイルランドのDPC、フランスのCNIL、オランダのAP、ドイツ各州のDPAは、いずれも自国・自州の中小企業向けに無料のツールキットとヘルプラインを提供している。
提案されているDigital Omnibusが成立した場合に変わること
Digital Omnibusによる改正案が提案どおりに採択された場合、SMEにとっての実務上の変化は次のようになる。
- 従業員750人未満の組織は、処理が高いリスクを生じさせるおそれがある(第35条のDPIAの基準に該当する)場合を除き、処理活動の記録を維持する必要がなくなる。
- 日常的で低リスクな処理(顧客のメールリスト、スタッフの記録、オンライン予約など)については、これらの組織による正式な文書化が不要になる。
- その他の義務はすべて変わらない。適法根拠、プライバシー通知、データ主体の権利、セキュリティ、侵害通知、委託先との契約は、引き続き全面的に適用される。
この簡素化は実質的なものではあるが、限定的である。コンプライアンス義務の大部分は影響を受けない。何らかの変更を行う前に、現在のコンプライアンス対応を継続しつつ、立法の進捗を注視すべきである。
GDPR関連ガイド
- 規則全体の包括的な概要については、GDPRとは何か
- 段階的なコンプライアンス対応ガイドについては、GDPRコンプライアンスチェックリスト
- 有効な同意の基準や、同意が適切な根拠となる場合とならない場合については、GDPRにおける同意の要件
- 8つの個人の権利すべてについては、GDPRにおけるデータ主体の権利
- 執行データと制裁金の算定方法については、GDPRの制裁金と罰則
- 侵害報告の手続きについては、GDPRデータ侵害通知72時間ルール
- クッキー同意の要件については、EUクッキー法(ePrivacy指令)
- EUデータ保護に関する総合ハブについては、EUデータプライバシー法
Frequently Asked Questions
GDPRは中小企業にも適用されるか。
適用される。GDPRは、規模にかかわらず、EU域内の個人の個人データを処理するすべての組織に適用される。個人事業主、スタートアップ、従業員200名の企業は、いずれもEUの個人データを取り扱っていれば適用対象となる。中小企業を包括的に除外する規定は存在しない。コンプライアンス上の義務は、従業員数ではなく、処理活動の性質とリスクに応じて調整される。
中小企業にはデータ保護責任者(DPO)が必要か。
ほとんどの場合は不要である。第37条に基づきDPOの選任が義務となるのは、公的機関、中核的な活動が大規模かつ定期的・組織的な個人のモニタリングを必要とする組織、そして中核的な活動が特別カテゴリーのデータ(健康、生体情報、遺伝情報など)の大規模な処理を伴う組織に限られる。典型的な小規模の小売業、サービス業、テクノロジー企業は、これらの基準に該当しない。任意で選任することは可能だが、その場合はDPOの独立性および保護に関するGDPRの規定がすべて適用される。
中小企業はGDPRの記録作成義務を免除されるか。
従業員250人未満の組織に対する第30条(5)項の適用除外は、多くの人が想定するよりも限定的なものである。この適用除外が認められるのは、処理が臨時的であること、本人にリスクを及ぼさないこと、特別カテゴリーのデータを含まないことという三つの条件がすべて同時に満たされる場合に限られる。ほとんどの中小企業は顧客データや従業員データを日常的に処理しているため、「臨時的」という基準を満たさず、依然として記録を維持しなければならない。望ましい実務として、いずれにせよ記録を保持しておくことが推奨される。
GDPRのDigital Omnibusとは何か。それは中小企業にとって有益なものか。
Digital Omnibusは、欧州委員会が2025年11月19日に公表した、GDPRに対する的を絞った改正案の一式である。記録義務の適用除外の対象を、従業員250人未満の組織から750人未満の組織にまで拡大し、記録作成の義務を高リスクの処理のみに限定することを提案している。EDPBとEDPSはこの簡素化を歓迎した。2026年5月時点で、この提案は三者協議(トリローグ)の段階にあり、まだ成立していない。改正が正式に採択されるまでは、現行の従業員250人という基準と三つの条件による判断が引き続き法律として適用される。
中小企業もGDPRのもとで制裁金を科されることがあるか。
科されることがある。GDPRの制裁金は、違反の重大性に応じて、規模を問わずすべての組織に適用される。監督機関は、制裁金が実効的、均衡的、かつ抑止的なものとなるようにしなければならないとされており、これは通常、中小企業が多国籍企業よりも金額の絶対値としては低い制裁金を科されることを意味するが、それでも金額が大きくなる場合はある。重大な違反の場合、制裁金は最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方に達する。実際の事例として、医療の提供をマーケティングへの同意と引き換えにしたことを理由とする小規模医療提供者への制裁金や、開示請求を無視したことを理由とする中小企業への制裁金が記録されている。
中小企業にとって最も重要なGDPR対応のステップは何か。
次の六つの優先事項から始めるとよい。(1)取り扱うすべての個人データとその理由を記載したデータの棚卸しを作成する。(2)明確なプライバシー通知を作成し公表する。(3)各処理活動について文書化された適法根拠を確保する。(4)多要素認証や端末の暗号化を含む基本的なセキュリティ対策を実施する。(5)データ主体からの権利請求に1か月以内に対応するための簡単な手続きを整備する。(6)自社に代わって個人データを取り扱うすべての委託先との間でデータ処理契約が締結されていることを確認する。
EU域外の企業がEUの顧客に販売する場合にもGDPRは適用されるか。
適用される。第3条(2)項のもとでは、EU域内の個人に商品またはサービスを提供する、またはその行動を監視するEU域外の組織にもGDPRが適用される。EUの顧客を持つ米国拠点のオンラインストア、EUのユーザーを持つカナダのSaaS事業者、そしてブレグジット後にEUの顧客にサービスを提供する英国企業は、いずれも遵守しなければならない。ブレグジットにより、EUの顧客にサービスを提供する英国企業は、EU域内での事業活動についてはEUのGDPRの適用を受け、これに加えて英国内での事業活動については別個の英国版GDPRの適用も受けることになる。
ウェブサイトにクッキー同意バナーが必要か。
ウェブサイトが必須ではないクッキー(アクセス解析用クッキー、広告用ピクセル、ソーシャルメディアのボタン、その他のトラッキング技術を含む)を使用している場合、規則に適合した同意の仕組みが必要である。有効な同意には、必須ではないクッキーが設定される前の能動的なオプトイン、拒否も同じくらい簡単に行える選択肢、そしてあらかじめチェックが入ったボックスを用いないことが求められる。単にフッターに「本サイトはクッキーを使用しています」と記載するだけでは不十分である。詳細な要件についてはEUクッキー法のガイドを参照されたい。
Sources and References
- GDPR全文(EU規則2016/679)(eur-lex.europa.eu).gov
- 欧州委員会:GDPRの規定はSMEにも適用されるか(commission.europa.eu).gov
- EDPB中小企業向けデータ保護ガイド(edpb.europa.eu).gov
- EDPB:SME向け実践的リソース(テンプレートとツール)(edpb.europa.eu).gov
- EDPB SMEガイド:データ保護責任者(edpb.europa.eu).gov
- EDPB:第30条(5)項適用除外に関するポジションペーパー(edpb.europa.eu).gov
- EDPB/EDPS:記録作成の簡素化を歓迎(2025年)(edpb.europa.eu).gov
- 欧州委員会:自組織にDPOは必要か(commission.europa.eu).gov
- 欧州委員会:GDPR Omnibus簡素化提案(2025年11月)(commission.europa.eu).gov
- Your Europe:GDPRにおけるデータ保護(europa.eu).gov
- ICO:小規模組織向けアドバイス(ico.org.uk).gov
- ICO:処理活動の文書化が必要なのは誰か(ico.org.uk).gov
- ICO:中小企業向けデータ保護自己診断(ico.org.uk).gov
- ICO:マーケティングとデータ保護の詳細(ico.org.uk).gov
- EDPB:SME向けFAQ(edpb.europa.eu).gov
- 欧州議会立法トレイン:デジタルパッケージ(europarl.europa.eu).gov
- GDPR-Info.eu:第30条 処理活動の記録(gdpr-info.eu)