GDPR(一般データ保護規則)とは何か:EUデータ保護法完全ガイド(2026年版)

一般データ保護規則(Regulation (EU) 2016/679)は、欧州連合(EU)の拘束力を持つデータ保護法であり、2018年5月25日から施行されている。個人にはその個人データに関する権利が付与され、個人データを取り扱う組織にはコンプライアンス上の義務が課される。さらに、EU域内の居住者を対象にサービスを提供する、またはその行動を監視する組織であれば、世界のどこに拠点があってもこの規則の適用対象となる。
一般データ保護規則(GDPR)は、世界で最も影響力のあるデータ保護法である。2016年5月4日に欧州連合官報においてRegulation (EU) 2016/679として公布され、2年間の移行期間を経て2018年5月25日から施行された。GDPRはすべてのEU加盟国に直接適用されるほか、第3条により、EU域内に所在する人々の個人データを取り扱う組織であれば、世界のどこに拠点を置いていても適用対象となる。
本ガイドでは、GDPRについて基礎から解説する。その成立の経緯、適用範囲、7つの基本原則、主要な定義、取扱いの6つの適法根拠、データ主体の権利の概要、執行機関、制裁金の内容、各国国内法との関係、そして2024年から2026年にかけての最新動向まで取り上げる。個別のトピックについて詳しく知りたい場合は、本文中にリンクされている関連ガイドを参照されたい。
EU法制全体の文脈については、EUデータプライバシー法の概要を参照されたい。
本記事は情報提供のみを目的としており、法的助言を構成するものではありません。個別の状況に応じた助言については、資格を有するデータ保護分野の弁護士またはプライバシー専門家にご相談ください。
クイックアンサー:GDPR(一般データ保護規則)とは何か
GDPRは、EUおよび欧州経済領域(EEA)に所在する個人の個人データの収集、保存、利用、共有について統一的な規則を定める、EUの直接適用規則(レギュレーション)である。「規則(レギュレーション)」という点が重要であり、EU指令(ディレクティブ)とは異なり、規則は加盟国が国内実施法を制定する必要がない。GDPRは同一日をもって、EU加盟27か国すべてにおいて自動的に拘束力を持つ法律となった。
GDPRの核心は3つの機能にある。第一に、個人(「データ主体」と呼ばれる)に対し、その個人データについて執行可能な権利を付与する。第二に、その個人データを取り扱う組織(「管理者」および「処理者」と呼ばれる)に義務を課す。第三に、すべての加盟国に独立した監督機関を設置し、苦情を調査し、問題が生じた場合には制裁金を科す仕組みを整えている。
GDPRは、20年以上にわたりEUのデータ保護を規律してきた1995年のデータ保護指令、Directive 95/46/ECに代わるものである。

制定の背景と目的
1995年データ保護指令
EU初の主要なデータ保護の枠組みは、1995年10月に採択された指令95/46/ECであった。指令は直接適用されるものではなく、各加盟国が独自の国内実施法を制定する必要があった。その結果、28か国それぞれ異なる国内法令が寄せ集められたパッチワーク状態となった。欧州全域で事業を展開する企業は、国ごとに異なるコンプライアンス体制に対応しなければならなかった。
同指令はダイヤルアップ・インターネットの時代にはどうにか機能していたが、2000年代から2010年代前半にかけてソーシャルメディア、クラウドサービス、スマートフォンが前例のない規模で個人データを生み出すようになると、次第に対応が不十分になっていった。
提案から採択まで
欧州データ保護監督機関(EDPS)の記録によれば、欧州委員会は2012年1月に、指令を規則に置き換えることを初めて提案した。新たな指令ではなく規則を選択したことにより、パッチワーク問題が解消された。単一の規則がすべての加盟国に統一的に適用されることになったのである。
欧州議会、欧州連合理事会、欧州委員会の間の交渉は4年間続き、3,000件を超える議会修正案が提出された。理事会は2016年4月8日に立場を採択し、欧州議会は2016年4月14日に最終テキストを承認した。同規則は2016年5月4日に官報で公布され、施行日は2018年5月25日と定められ、組織には2年間の準備期間が与えられた。
施行後の展開
GDPRは2018年の時点でデータ保護法制を凍結させたわけではない。欧州データ保護会議(EDPB)は、個別の条項を解釈する数十件のガイドラインを公表してきた。欧州各国の裁判所も、同意、正当な利益、国際的なデータ移転に関する画期的な判決を下している。2026年初頭までにGDPR制裁金の累計額は71億ユーロを超え、2025年単年だけでも約11億5,000万ユーロが科された。
2026年4月は、2016年4月のGDPR採択から10周年にあたる。EDPBは、同規則が大陸全域を対象とする初の包括的なデータ保護の枠組みを確立し、150か国を超える国々のプライバシー立法に直接的な影響を与えてきたと指摘している。
適用範囲:誰が遵守しなければならないか(第3条)
GDPR第3条は、一国または一地域の法律としては異例なほど広範な適用範囲を定めている。同条は適用の可否を判断する2つの主要な基準を設けている。
拠点基準(第3条第1項)
GDPRは、EU域内の「拠点の活動の過程において」個人データを取り扱う管理者または処理者に適用される。ここでいう拠点とは、法人としての正式な設立を必要とせず、支店、子会社、その他何らかの安定的な事業形態であれば該当する。
重要な点として、取扱いそのものがEU域内で行われる必要はない。例えば、ベルリンに本社を置く企業が米国内のサーバーで顧客データを処理している場合でも、その取扱いはEU拠点の活動の過程で行われているため、GDPRの適用対象となる。
対象基準(第3条第2項)
EU域内に拠点を持たない組織であっても、以下に該当する場合には遵守が求められる。
- 対価の有無を問わず、EU域内の個人に商品またはサービスを提供している場合
- ウェブサイト解析、行動ターゲティング広告、位置情報の追跡、クッキーによるプロファイリングなどを通じて、EU域内に所在する個人の行動を監視している場合
域外適用に関するEDPBガイドライン3/2018は、単にEU域内からアクセス可能であるというだけでは不十分であることを明確にしている。EU居住者を対象とする意図があることを示す証拠が必要であり、ユーロでの決済を受け付けていること、EU域内の言語でコンテンツを提供していること、EUの顧客を明示的に想定していることなどが、その指標となる。
EU域内代理人の選任義務(第27条)
対象基準によりGDPRの適用対象となるEU域外の組織は、EU域内において書面による代理人を選任しなければならない。この代理人は、監督機関およびデータ主体との窓口としての役割を果たす。

7つのデータ保護原則(第5条)
GDPR第5条は、あらゆる取扱い行為に適用される7つの原則を定めている。これらの原則に違反した場合、上位区分の制裁金(最大2,000万ユーロまたは全世界売上高の4%)が科される。第5条第2項に定める説明責任の原則により、7つすべての原則の遵守を証明する挙証責任は組織側が負う。
1. 適法性、公正性、透明性
取扱いは、第6条に基づく有効な法的根拠を有していなければならない。取扱いは、本人が合理的に予期する方法で行われなければならず、不当な不利益を生じさせてはならない。組織は、分かりやすいプライバシー通知を通じて、自己のデータがどのように扱われるかを本人に明確に伝えなければならない。
2. 目的の限定
個人データは、特定され、明示的かつ正当な目的のためにのみ収集することができ、それら本来の目的と両立しない方法でさらに取り扱うことはできない。注文確認のために取得したメールアドレスを、別個の法的根拠なくマーケティングに後から利用することは、この原則に違反する。記録保存、科学研究、統計目的については限定的な例外が認められている。
3. データの最小化
取扱いが認められる個人データは、明示された目的に照らして適切かつ関連性があり、必要最小限の範囲に限られたものでなければならない。組織は、後で役に立つかもしれないという理由だけでデータを収集すべきではない。
4. 正確性
個人データは正確であり、常に最新の状態に保たれていなければならない。組織は、不正確なデータを遅滞なく消去または訂正するために、合理的なあらゆる手段を講じなければならない。ICOのデータ保護原則に関するガイダンスは、正確性とは単に技術的に正しいというだけでなく、文脈上誤解を招くものであってはならないことを意味すると指摘している。
5. 保存期間の制限
データは、取扱いの目的に必要な期間に限り、本人を識別できる形式で保持することができる。目的が達成された後は、組織はデータを消去または匿名化しなければならない。保存期間のスケジュールは文書化されなければならず、無期限の保存は認められない。
6. 完全性および機密性(セキュリティ)
個人データは、不正アクセス、偶発的な滅失、破壊、または損傷から保護するための適切な技術的・組織的なセキュリティ対策を講じた上で取り扱われなければならない。この原則は、第33条および第34条に定める侵害通知義務の基礎となっている。
7. 説明責任
管理者は、上記6つの原則すべての遵守について責任を負い、かつそれを証明できなければならない。これは能動的な義務であり、取扱い活動の記録の保持、必要な場合のデータ保護影響評価の実施、義務付けられている場合のデータ保護責任者の選任、そして監督機関に対する遵守の証拠の提供が含まれる。
主要な定義(第4条)
GDPR第4条には26の定義が定められている。あらゆるコンプライアンス分析において繰り返し登場する6つの用語は、次のとおりである。
個人データ
識別された、または識別され得る自然人(「データ主体」)に関するあらゆる情報を指す。この定義は意図的に広範かつ技術中立的なものとされている。氏名、メールアドレス、電話番号、IPアドレス、クッキー識別子、位置情報、遺伝データ、生体データ、写真、そして直接的または間接的に個人を特定し得るあらゆるデータの組み合わせが含まれる。
欧州委員会は、データがデジタル形式で保存されている場合、紙媒体である場合、あるいは映像監視によって取得された場合のいずれであっても、GDPRが適用されることを強調している。
取扱い
「取扱い」とは、個人データに対して行われるほぼあらゆる操作を指す。収集、記録、整理、構造化、保存、改変、検索、利用、開示、組み合わせ、制限、消去、破壊などである。この定義は意図的に広く解釈されるようになっており、何らかの形で個人データを扱っていれば、それは「取扱い」に該当する。
管理者
データ管理者とは、取扱いの目的および方法を決定する自然人、法人、公的機関、行政機関、その他の団体を指す。管理者は、データがなぜ収集され、どのように利用されるかを決定する主体であり、GDPR遵守について第一次的な責任を負う。
処理者
データ処理者とは、管理者の指示に基づき、管理者に代わって個人データを取り扱う者を指す。小売業者の顧客データベースを保管するクラウドホスティング企業は、処理者として行動していることになる。処理者は管理者の指示に従い、適切なセキュリティ対策を実施し、第28条に基づく書面によるデータ取扱契約を締結しなければならない。EDPBガイドライン07/2020は、両者の役割の判断について詳細な指針を示している。
データ主体
自己の個人データが取り扱われている自然人を指す。データ主体は、GDPR第3章に定める権利の主体である。
個人データの特別カテゴリー
第9条は、特に機微であり追加的な保護を要するデータのカテゴリーを定めている。人種的または民族的出自、政治的意見、宗教的または思想的信条、労働組合への加入状況、遺伝データ、本人を一意に識別するための生体データ、健康データ、そして性生活または性的指向に関するデータである。これらのカテゴリーの取扱いは原則として禁止されており、第9条第2項に列挙された特定の例外に該当する場合にのみ認められる。
取扱いの6つの適法根拠(第6条)
あらゆる取扱い行為は、第6条に定める6つの適法根拠のいずれかに基づかなければならない。管理者は、取扱いを開始する前に、該当する根拠を特定し文書化しなければならない。根拠は後から変更することはできない。
| 適法根拠 | 適用される場合 | 典型的な例 |
|---|---|---|
| 同意 | データ主体が自由意思に基づき、特定的、十分な情報を得た上で、明確な形で同意の意思を示した場合 | 明示的なオプトイン・チェックボックスによるニュースレター登録 |
| 契約の履行に必要な場合 | データ主体との契約を履行するため、またはその求めに応じて契約締結前の措置を講じるために取扱いが必要な場合 | オンライン注文の履行のために配送先住所を利用する |
| 法的義務の遵守 | EU法または加盟国国内法上の法的義務を遵守するために取扱いが必要な場合 | 税務目的での給与記録の保存 |
| 生命に関する利益の保護 | データ主体または第三者の生命を保護するために取扱いが必要な場合 | 緊急時における医療データの共有 |
| 公共の利益/公的権限の行使 | 公共の利益のために行われる業務、または公的権限の行使のために取扱いが必要な場合 | 政府機関による公衆衛生上の監視 |
| 正当な利益 | 管理者(または第三者)の正当な利益のために取扱いが必要であり、それがデータ主体の利益や基本的権利によって上回られない場合 | 不正防止、ネットワークセキュリティ、ダイレクトマーケティング(慎重な運用を要する) |
同意はしばしば既定の根拠であると誤解される。正当な利益に関するEDPBガイドライン1/2024は、正当な利益の適用には利益衡量テストが必要であり、個人の権利を明らかに上回るような取扱いには用いることができないことを明確にしている。
同意がいつ必要となるか、また有効な同意の要件について詳しくは、GDPRにおける同意の要件を参照されたい。
データ主体の権利の概要(第3章)
GDPR第3章は、データ主体に8つのカテゴリーの権利を付与している。管理者は、権利行使の請求に対し、不当な遅滞なく、かつ原則として1か月以内に対応しなければならない(複雑な請求についてはさらに2か月延長できる)。対応は無償で行わなければならない。
| 権利 | 条項 | 内容 |
|---|---|---|
| 情報を受ける権利 | 第13条、第14条 | プライバシー通知を通じて取扱いに関する明確な情報を受け取る権利 |
| アクセス権 | 第15条 | 取扱いが行われているかどうかの確認、および保有されている個人データの写しを取得する権利 |
| 訂正を求める権利 | 第16条 | 不正確または不完全なデータを訂正させる権利 |
| 消去を求める権利(「忘れられる権利」) | 第17条 | データが不要になった場合、同意が撤回された場合、または取扱いが違法であった場合に、データを消去させる権利 |
| 取扱いの制限を求める権利 | 第18条 | 紛争が解決するまでの間など、定められた状況において取扱いを制限させる権利 |
| データポータビリティの権利 | 第20条 | 構造化され機械可読な形式で個人データを受け取り、別の管理者に移転させる権利 |
| 異議を述べる権利 | 第21条 | 正当な利益に基づく取扱いやダイレクトマーケティングに対して異議を述べる権利 |
| 自動化された意思決定に関する権利 | 第22条 | 重大な法的効果またはこれに類する影響を及ぼす、専ら自動化された意思決定のみに服さない権利 |
これらの権利はいずれも絶対的なものではない。GDPRは、管理者が請求を拒否または制限できる具体的な根拠を定めている。各権利の詳細および組織が取るべき対応については、GDPRにおけるデータ主体の権利を参照されたい。
執行体制:GDPRはどのように運用されているか

各国の監督機関(DPA)
各EU加盟国には、少なくとも1つの独立したデータ保護機関が設置されている。DPAは第58条に基づき、次の3つのカテゴリーの権限を有する。
- **調査権限:**監査の実施、施設への立ち入り、情報提供の命令、データ保護監査の実施
- **是正権限:**警告、戒告、遵守命令、取扱いの一時的または恒久的な禁止、行政制裁金
- **認可・助言権限:**拘束的企業準則(BCR)の承認、意見の発出、標準契約条項(SCC)の認可
著名なDPAとしては、アイルランドのデータ保護委員会(DPC)、フランスのCNIL、ドイツの各州データ保護監督官(Landesbeauftragte)、イタリアのGarante、スペインのAEPDなどが挙げられる。
欧州データ保護会議(EDPB)
EDPBは、すべての加盟国のDPAおよび欧州データ保護監督機関で構成される独立したEU機関である。GDPRの施行に伴い、第29条作業部会に代わって設置された。EDPBは、国境を越えた紛争について拘束力のある決定を下し、解釈指針を公表し、加盟国間の執行を調整する役割を担う。
ワンストップショップ制度
複数のEU加盟国にまたがって事業を展開する組織については、GDPRのワンストップショップ制度により、単一の「主監督機関」が指定される。これは通常、当該組織の主たるEU拠点が所在する加盟国のDPAである。他の「関係する」DPAは決定案に対して異議を提起することができ、解決に至らない紛争はEDPBに付託され、拘束力のある決定が下される。
多くの大手テクノロジー企業(Meta、Google、Apple、TikTok、LinkedIn、X)が欧州本社をダブリンに置いていることから、アイルランドのDPCは制裁金額の面で最も存在感のある執行機関となっている。
制裁金(第83条および第84条)
GDPRは、2段階の行政制裁金の枠組みを定めている。
**下位区分(第83条第4項):最大1,000万ユーロまたは全世界年間売上高の2%**のいずれか高い方。これは、第8条、第11条、第25条から第39条、第42条、第43条に定める管理者および処理者の義務違反(DPOの選任義務、プライバシー・バイ・デザイン、侵害通知などを含む)に適用される。
**上位区分(第83条第5項):最大2,000万ユーロまたは全世界年間売上高の4%**のいずれか高い方。これは、基本原則(第5条)、適法根拠(第6条)、同意の要件(第7条)、特別カテゴリーに関する規則(第9条)、データ主体の権利(第3章)、国際移転に関する規則(第5章)への違反に適用される。
加盟国はまた、第84条に基づき、刑事制裁を含む追加的な罰則を科すことができる。
注目すべき執行事例:
- アイルランドのDPCは2025年、EU利用者データを中国へ違法に移転したとして、TikTokに5億3,000万ユーロの制裁金を科した。
- アイルランドのDPCは2023年、標準契約条項を通じて米国へデータを違法に移転したとして、Metaに12億ユーロの制裁金を科した。
- アイルランドのDPCは2024年12月、2018年の「View As」機能の脆弱性に関連する侵害通知およびデータセキュリティの不備を理由に、Metaに2億5,100万ユーロの制裁金を科した。
- LinkedInは2024年、有効な適法根拠なく行動ターゲティング広告を利用していたとして、3億1,000万ユーロの制裁金を科された。
2026年初頭までにGDPR制裁金の累計額は71億ユーロを超えた。制裁金の算定方法の詳細および主要な執行事例の一覧については、GDPRの制裁金と罰則を参照されたい。
GDPRと各国国内実施法
GDPRは直接適用される規則であるにもかかわらず、加盟国が国内法において特定の条項を追加、制限、または調整することを認め、あるいは義務付ける「開放条項」を50以上含んでいる。その結果、ドイツにおけるGDPR遵守の内容は、フランスやアイルランドにおけるそれと完全には一致しない。
国ごとに差異が生じやすい主な分野は、次のとおりである。
**子どものデータに関する同意年齢。**第8条は原則として16歳を基準としているが、加盟国はこれを最低13歳まで引き下げることができる。英国(ブレグジット以前にGDPRを適用していた)は13歳と定めていた。
**データの特別カテゴリー。**第9条第4項により、加盟国は健康データ、遺伝データ、識別目的の生体データの取扱いについて追加的な要件を課すことができる。
**雇用に関するデータ。**第88条により、加盟国は採用前の審査や職場における監視を含む従業員データについて、独自の規則を採用することができる。
**表現の自由と報道。**第85条は、加盟国に対し、報道、学術、芸術目的を含め、データ保護と表現の自由との調和を図ることを求めている。
**犯罪歴に関するデータ。**第10条は、民間主体が犯罪歴の記録を取り扱うことができる条件について、加盟国の判断に委ねている。
複数の加盟国にまたがって事業を展開する組織は、GDPR本体だけでなく、関係する各国の国内実施法についても確認する必要がある。
最近の動向:2024年から2026年
GDPR手続規則(Regulation (EU) 2025/2518)
GDPRに対する根強い批判の一つは、国境を越えた執行事案の処理に時間がかかりすぎるというものであった。ワンストップショップ制度では、主監督機関と関係監督機関との間で広範な協力が求められる一方、拘束力のある期限が設けられていなかった。
EUはこの問題に対処するため、GDPR手続規則であるRegulation (EU) 2025/2518を制定した。同規則は2025年12月12日に官報で公布され、2026年1月1日に発効し、2027年4月2日から適用される予定である(進行中の調査を保護する経過規定も設けられている)。
主な変更点は次のとおりである。
- 主監督機関による調査について、拘束力のある15か月の期限を設定し、複雑な事案については12か月延長可能とする。
- 苦情申立人および調査対象者に関する手続を標準化する。
- 執行のスケジュールに関する透明性の義務を強化する。
- 執行手続における苦情申立人の参加権を明確化する。
同規則はGDPRの実体的な義務を変更するものではなく、DPA間の連携方法および当事者の手続的権利を規律するものである。
デジタル・オムニバス法案(2025年11月)
2025年11月19日、欧州委員会は、GDPR、データ法、eプライバシー指令、NIS2指令など複数のEUデジタル関連法の改正を提案する、広範なデジタル・オムニバス法案を採択した。2026年5月時点で、デジタル・オムニバスはあくまで立法提案の段階にあり、まだ成立しておらず、欧州議会と理事会を関与させる通常の共同立法手続の途上にある。
GDPRに関する主な改正提案は次のとおりである。
- 取扱いが高リスクを伴わない限り、従業員750人未満の組織について第30条の記録保持義務を縮小する。
- 第13条、第14条、第15条を改正し、定められた状況において情報提供に関する権利の範囲に制限を導入する。
- 第5条第1項(b)の目的限定原則を調整する。
- 新設される第33a条により、データ侵害通知のための「単一窓口」を導入する。
- 自動化された意思決定に関する第22条を精緻化する。
EDPBとEDPSは2026年初頭に共同意見を発出し、簡素化に資する一部の要素を支持する一方、個人データの定義に関する改正提案については重大な懸念を示した。両機関は、当該提案が欧州司法裁判所(CJEU)の確立した判例法の範囲を超えており、概念を著しく狭めることになると主張している。現行のGDPR条文は、改正が立法手続を経て正式に公布されるまでは効力を維持する。
EU AI法とGDPR
EU AI法は、2024年から2026年にかけて段階的に適用が開始された。EDPBは、AIシステムの開発または導入のために個人データを取り扱う行為がGDPR上の義務の対象となることを確認しており、EDPBは欧州委員会のAI室と共同で、AI法とGDPRの関係に関するガイドラインの策定を進めており、2026年中の採択が見込まれている。基本的な考え方は明快である。AI法の遵守はGDPR遵守の代わりにはならない。
GDPRの世界的な影響
2018年以降、GDPRは150か国を超える国々のプライバシー立法に影響を与えてきた。ブラジルの一般データ保護法(LGPD)、日本の改正個人情報保護法(APPI)、韓国の個人情報保護法(PIPA)、そして2023年のインドのデジタル個人データ保護法は、いずれもGDPR由来の概念を取り入れている。米国カリフォルニア州のCCPAおよびCPRAも、GDPR型のデータ主体の権利を米国法に導入した。
欧州委員会の十分性認定の枠組みは、この影響力をさらに強めている。EUから個人データの自由な移転を受けようとする国は、GDPRと「実質的に同等」の保護を示す必要があり、事実上GDPR遵守が世界的な基準として機能している。
Frequently Asked Questions
GDPRとは何の略称ですか。
GDPRは一般データ保護規則(General Data Protection Regulation)の略称です。正式名称はRegulation (EU) 2016/679(欧州議会および理事会規則)であり、2016年4月14日に採択され、2018年5月25日から施行されています。同規則は、1995年のデータ保護指令に代わり、すべてのEU加盟国および欧州経済領域におけるデータ保護法を統一するものです。
GDPRは欧州域外にも適用されますか。
はい。第3条によりGDPRは域外適用の効力を持ちます。EU居住者に商品やサービスを提供する、またはウェブサイト解析、行動ターゲティング広告、追跡などを通じてEU居住者の行動を監視する組織であれば、世界のどこに拠点を置いていてもGDPRを遵守しなければなりません。米国、カナダ、日本の企業であっても、このような形でEU居住者の個人データを取り扱っている場合はGDPRの適用対象となります。
GDPRの7つの原則とは何ですか。
第5条に定める7つの原則とは、(1)適法性、公正性、透明性、(2)目的の限定、(3)データの最小化、(4)正確性、(5)保存期間の制限、(6)完全性および機密性(セキュリティ)、(7)説明責任です。これらの原則はあらゆる個人データの取扱いに適用されます。説明責任の原則により、他の6つの原則の遵守を証明する責任は管理者が負います。
データ管理者とデータ処理者の違いは何ですか。
管理者は、個人データの取扱いの目的と方法を決定し、GDPR遵守について第一次的な責任を負います。処理者は、管理者の指示に従い、管理者に代わって個人データを取り扱います。例えば、顧客データの保管にクラウドホスティング事業者(処理者)を利用する小売業者(管理者)が該当します。管理者と処理者は、第28条に基づく書面によるデータ取扱契約を締結しなければなりません。
取扱いの6つの適法根拠とは何ですか。
第6条は6つの適法根拠を定めています。(1)データ主体の同意、(2)契約の履行に必要な場合、(3)法的義務の遵守、(4)生命に関する利益の保護、(5)公共の利益のために行われる業務または公的権限の行使、(6)管理者または第三者の正当な利益です。あらゆる取扱い行為は、開始前にこれらのいずれかの根拠によって正当化されていなければなりません。
GDPRの制裁金の上限額はいくらですか。
GDPR制裁金の最上位区分は、2,000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか高い方です。これは、基本原則、適法根拠、データ主体の権利、国際移転に関する規則への違反に適用されます。より手続的な違反については、1,000万ユーロまたは2%の下位区分が適用されます。これまでで最大のGDPR制裁金は、2023年にアイルランドのDPCがMetaに対し、違法なデータ移転を理由に科した12億ユーロです。
GDPR手続規則とは何ですか。
GDPR手続規則と呼ばれるRegulation (EU) 2025/2518は、2025年12月に公布され、2026年1月1日に発効し、2027年4月2日から適用されます。国境を越えた執行事案について拘束力のある期限(15か月の調査期間、12か月延長可能)、苦情申立人および調査対象者の標準化された手続的権利、そして透明性の向上を導入するものです。GDPR本体の実体的な義務を変更するものではありません。
EUデジタル・オムニバスとは何であり、GDPRにどのような影響を与えますか。
デジタル・オムニバスは、2025年11月19日に欧州委員会が採択した立法提案であり、GDPRを含む複数のEUデジタル関連法の改正を目指すものです。2026年5月時点では、欧州議会と理事会の間で共同立法交渉が続いており、まだ成立していません。GDPRに関する改正提案には、小規模組織の記録保持義務の縮小、情報提供に関する権利の修正、侵害通知規則の調整、自動化された意思決定に関する規則の精緻化などが含まれます。現行のGDPR条文は、改正が正式に採択され公布されるまでは効力を維持します。
GDPRはいつ施行されましたか。
GDPRは2016年4月14日に採択され、2016年5月4日に公布され、2年間の移行期間を経て2018年5月25日に施行されました。これにより、1995年のデータ保護指令(Directive 95/46/EC)が置き換えられました。GDPRは2016年4月14日に採択され、2018年5月25日から適用が開始されました。2026年5月25日は、GDPRの適用開始から8周年にあたります。
Sources and References
- GDPR全文:Regulation (EU) 2016/679(eur-lex.europa.eu).gov
- Directive 95/46/EC:1995年データ保護指令(eur-lex.europa.eu).gov
- GDPR統合条文(EUR-Lex)(eur-lex.europa.eu).gov
- 欧州データ保護会議(EDPB)(edpb.europa.eu).gov
- 域外適用に関するEDPBガイドライン3/2018(第3条)(edpb.europa.eu).gov
- EDPB:第5条の原則(edpb.europa.eu).gov
- 正当な利益に関するEDPBガイドライン1/2024(第6条第1項(f))(edpb.europa.eu).gov
- EDPBガイドライン07/2020:管理者と処理者(edpb.europa.eu).gov
- EDPB中小企業向けガイド:データ管理者とデータ処理者(edpb.europa.eu).gov
- EDPB中小企業向けガイド:個人の権利の尊重(edpb.europa.eu).gov
- デジタル・オムニバスに関するEDPBおよびEDPS共同意見(2026年)(edpb.europa.eu).gov
- EDPB:GDPR10周年(2026年)(edpb.europa.eu).gov
- EDPS:GDPRの沿革(edps.europa.eu).gov
- 欧州委員会:GDPRの原則(commission.europa.eu).gov
- 欧州委員会:管理者と処理者(commission.europa.eu).gov
- 欧州委員会:データ保護の解説(commission.europa.eu).gov
- 欧州委員会:十分性認定(commission.europa.eu).gov
- 欧州委員会:EUにおけるデータ保護(commission.europa.eu).gov
- ICO:データ保護原則ガイド(ico.org.uk).gov
- GDPR第3条:適用範囲(gdpr-info.eu)
- GDPR第5条:原則(gdpr-info.eu)
- GDPR第6条:取扱いの適法性(gdpr-info.eu)
- GDPR第3章:データ主体の権利(gdpr-info.eu)