やさしく解説Q＆A：GDPRとはどんな法律ですか？

「GDPR（ジーディーピーアール）」という言葉をご存じですか？「何のことかよく分からない」「自分の会社に関係あるの？」と疑問に思っている方も多いのではないでしょうか。

この記事では、GDPRの意味や内容、気をつけるポイントなどをやさしく解説します。個人や企業にとって大切なルールなので、しっかり理解しておきましょう！

GDPRとは？簡単に言うと「EUの個人情報保護ルール」です。

GDPRは、正式には「General Data Protection Regulation（一般データ保護規則）」といい、EU（ヨーロッパ連合）で定められた法律です。2018年から施行されており、個人のプライバシー（個人情報）を守るためのルールです。

ポイントは、「EUの人の個人情報を取り扱う全ての企業が対象」になるということ。つまり、日本の企業でも、EUのお客さんやユーザーの情報を扱っていれば、GDPRの対象になります。

たとえば、

- EUに商品を販売しているECサイト

- EUに住んでいる人を対象とするアプリやサービス

- EU企業から業務を請け負っている会社

などは、GDPRのルールを守らなければなりません。

GDPRでは、企業や団体に対して、個人情報を安全に扱うためのさまざまな義務が課されています。主な内容を簡単に紹介します。

- 本人の同意が必要：個人情報を集めるときは、事前に相手からはっきりと「OK」をもらう必要があります。

- 情報の確認や削除ができる：本人は、自分の情報を「見せてください」「消してください」と要求できます。

- 目的外利用は禁止：集めた情報は、約束した目的以外には使えません。

- 情報漏えいがあったら72時間以内に報告：問題が起きたら、すぐに報告する義務があります。

違反すると、最大で「2,000万ユーロ」または「世界全体の年間売上の4%」という非常に重い罰金が科されることもあります。

GDPRに関しては、いくつか誤解されやすいポイントがあります。

- 「EUの法律だから日本企業には関係ない」→ 関係あります！

EUに住んでいる人の情報を取り扱っていれば、国に関係なくGDPRの対象です。

- 「IPアドレスやCookieだけなら大丈夫」→ それも個人情報です！

日本の個人情報保護法と異なり、IPアドレスやCookie、位置情報なども個人データとされています。

-「無料サービスだからGDPRは関係ない」→ 無料でも対象になります！

　料金の有無は関係ありません。サービスの提供によって個人データを取得・処理していれば、GDPRの規制対象です。広告モデルのサイトやアプリも注意が必要です。

GDPRに対応するには、次のような対策が必要です。

- サイトやアプリでのプライバシーポリシーを明確にする

- 情報を集めるときに同意を取る仕組みをつくる（チェックボックスなど）

- 情報の管理・削除・変更がすぐできる体制を整える

- 万が一のために、漏えい時の対応マニュアルを準備しておく

特に中小企業では、自社だけで対応するのが難しい場合もあるので、専門家の力を借りるのがおすすめです。GDPR対応には、法律やITの知識が必要です。次のような専門家がサポートしてくれます。

- 弁護士や行政書士：GDPRの対象かどうかの判断、必要な書類の作成など

- ITコンサルタント：データの安全な管理方法、アクセス制限などのアドバイス

- セキュリティ企業：情報漏えいを防ぐための仕組みづくり

GDPRは、EUの法律ですが、日本の企業にも十分関係がある重要なルールです。知らずに違反してしまうと、大きな罰金や信頼の低下につながることもあります。

「うちは対象かも？」と思ったら、まずは自社のサービスやお客様の情報の扱い方を見直してみましょう。そして、必要に応じて専門家に相談することをおすすめします。