GDPR が世界企業に及ぼす影響

GDPR の目的は、市民と居住者が自身の個人データをコントロールできる権利を取り戻すことです。
1995年（平成7年）のデータ保護指令により加盟国毎にばらばらの法整備をしてきたという反省から、EU加盟国の共通法制度として適用されます。

GDPR の対象となるのは、下記のような個人データです。わが国の個人情報保護法より範囲が広く、より具体的であることに留意しましょう。

• 氏名
• 識別番号
• 所在地データ
• メールアドレス
• オンライン識別子（IPアドレス、クッキー）
• クレジットカード情報
• パスポート情報
• 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

また、適用対象は、EU内に拠点を置くデータ管理者だけでなく、EU居住者に商品やサービスを提供もしくはモニタリングする場合も含みます。つまり、EU内に居住する日本人顧客や従業員の個人データを日本に送る場合にも適用されます。つまり、次のような企業・団体・機関が範囲となります。

• EUに子会社、支店、営業所、駐在員事務所を有している。
• 日本からEUに商品やサービスを提供している。
• EUから個人データの処理について委託を受けている（データセンター事業者やクラウドベンダーなど）。

GDPR における個人データの処理には、次のような義務が課されます。

• 処理対象の個人データおよびその処理過程を特定しなければならない。
• 個人データの収集および利用目的について、有効な同意が明示的に行われなければならない。
• 個人データの処理および保管に当たり、適切な安全管理措置を講じなければならない。
• 個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはならない。
• 個人データの侵害（情報漏洩）が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければならない。また、データ主体にも遅滞なく通知しなければならない。
• 定期的に大量の個人データを取扱う組織は、データ保護責任者（Data Protection Officer）や欧州における代理人を任命しなければならない。
• EEA（欧州経済領域）の域内から域外（第三国）への個人データの移転は、原則として禁止する。

わが国は、欧州委員会によって適切な個人情報保護制度を有していると認められていないため、データ移転を行う前に、本人同意を得て、拘束的企業準則（binding corporate rules）を策定し、標準契約条項（SCC：Standard Contractual Clauses）を締結しなければなりません。

前述の義務に違反した場合、前年度の全世界売上高の4％もしくは2000万ユーロ（1ユーロ125円とすると25億円）のどちらか高い方が制裁金として課されます。

2018年（平成30年）5月22日、米Facebookのマーク・ザッカーバーグCEOが欧州議会で証言に立ったのは、アプリによって収集された約5000万のユーザーデータが他社に渡った事件よりもむしろ、同社が GDPR に従うかどうかが注目されました。
雑貨バーグCEOは、議員からの質問すべてが終わるまで回答をせず、詳細について改めて回答するという手段に出たため、公聴会は混乱に陥りました。

GDPR が施行されると、EUから米ロサンゼルス・タイムズ紙やシカゴ・トリビューン紙を閲覧できなくなりました。

企業は、利用者から明示的な同意を取り付けようと、大量の電子メールやメッセージを送ったため、ネットは大混乱に陥っています。Twitterでは "#HappyGDPRDay" ハッシュタグが急増しています。

2022年（令和4年）11月、NTTデータスペインが顧客管理システムを提供する保険会社が2021年（令和3年）8月に顧客情報の漏洩問題を起こしたことが発端となり、スペイン当局が1年かけて調査した結果、漏洩を防ぐためのセキュリティが不十分であったことからNTTデータ側にも過失があるとし、6万4000ユーロ（約940万円）の制裁金を科しました。日本企業が制裁を受けるのは初めてのことです。

• 「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）：JETRO，2016年11月
• 「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（実践編）：JETRO，2017年8月
• EU公聴会に出席したザッカーバーグ、GDPR施行直前に「沈黙」を通した理由：WIRED，2018年5月24日