GDPRとは|EUが定める個人データ保護の一般規則

2026年6月3日

GDPR（General Data Protection Regulation、EU一般データ保護規則）はEUと欧州経済領域における個人データ保護を統一する規則で、正式番号はRegulation (EU) 2016/679である。2016年4月に採択され、2年間の準備期間を経て2018年5月25日から完全適用された。1995年のデータ保護指令（95/46/EC）を置き換える形でEU加盟国に直接適用され、域外事業者にも適用される域外適用条項を備える点が大きな特徴である。本稿では基本原則、対象範囲、データ主体の権利、罰則体系を順に解説する。

この記事の目次

GDPR制定の経緯と基本原則
適用範囲と域外適用の仕組み
データ主体の権利とコントローラの義務
罰則と他制度との関係
まとめ

GDPR制定の経緯と基本原則

1995年指令の時代は加盟国ごとに国内法へ移されたため運用に差が生まれ、クラウドや国際的なデータ移転に対応しきれない問題が顕在化した。欧州委員会は2012年に改革案を提示し、欧州議会・閣僚理事会との三者協議を経て2016年4月14日に最終採択された。Regulation形式を採ったことで国内法化は不要となり、EU全域で統一的に効力を持つようになった。

第5条には7つの基本原則が列挙される。すなわち「適法性・公正性・透明性」「目的の限定」「データ最小化」「正確性」「保管制限」「完全性・機密性」「説明責任」である。これらはコントローラ（管理者）に対する義務として作用し、説明責任原則（Accountability）は処理活動記録（Article 30）やデータ保護影響評価（DPIA、Article 35）といった具体的な仕組みを通じて実装される。

適用範囲と域外適用の仕組み

GDPRの適用対象は氏名、識別子、位置情報、オンライン識別子、健康・遺伝情報など個人を直接・間接的に特定できるデータすべてに及ぶ。事業者の所在地ではなくデータ処理の文脈で適用されるため、第3条2項により、EU域内のデータ主体に対して商品・サービスを提供する事業者やEU域内の行動を監視する事業者は、本社が日本や米国にあってもGDPRの対象となる（域外適用）。

EU域外へのデータ移転は第5章で厳格に規律される。十分性認定（Adequacy Decision）を受けた国へは自由に移転できるが、それ以外の場合は標準契約条項（SCC）、拘束的企業準則（BCR）、認証スキームのいずれかが必要となる。日本は2019年1月に十分性認定を取得し、相互的なデータ移転が可能になった。一方で米国向けはPrivacy Shield無効化（Schrems II、2020年）後、EU-US Data Privacy Framework（2023年7月発効）に基づく移転スキームへ再構築された。

データ主体の権利とコントローラの義務

第12条以降ではデータ主体に8つの権利が付与される。情報提供請求、アクセス権、訂正権、消去権（忘れられる権利）、処理制限権、データポータビリティ権、異議申立権、自動意思決定に服しない権利である。これらの請求には原則として1か月以内に応答する義務があり、拒否する場合も理由を提示しなければならない。

コントローラとプロセッサ（処理者）の責任分界はArticle 28以降で明文化される。プロセッサ契約には対象データ、処理目的、保護措置、サブプロセッサの利用条件などを明記する必要がある。データ侵害時には監督機関へ72時間以内、影響が大きい場合はデータ主体本人にも通知義務がある（Article 33・34）。さらに公共機関や大規模監視・特別カテゴリ処理を行う事業者はDPO（データ保護責任者）の選任が必要となる（Article 37）。

罰則と他制度との関係

GDPRの制裁金は第83条で定められ、違反内容に応じて最大1000万ユーロまたは全世界年間売上高の2%、あるいは最大2000万ユーロまたは4%のいずれか高い方が科される。実際にAmazonには2021年7月に7億4600万ユーロ、Metaには2023年5月に12億ユーロの過去最大級制裁金が課された事例があり、グローバル企業の経営課題となっている。

GDPRと類似の規制は世界各地で広がっている。米国カリフォルニア州のCCPA／CPRA、ブラジルのLGPD、英国のUK GDPRとData Protection Act 2018、中国の個人情報保護法（PIPL）、日本の改正個人情報保護法はいずれもGDPRの影響を受けている。国際展開する組織はGDPRを基準ラインに置き、地域固有の要件を上乗せする形で統合管理する手法が一般的になっている。