プライバシー・個人情報保護

GDPR (EU 一般データ保護規則)

約 5 分で読めます

最終更新: 2026-03-10

GDPR とは

GDPR (General Data Protection Regulation - EU 一般データ保護規則) とは、EU 域内の個人データの保護を包括的に規定する法規制です。2018 年 5 月 25 日に施行され、世界で最も厳格なデータ保護法の 1 つとして知られています。

GDPR の特徴は、その適用範囲の広さにあります。EU 域内に拠点を持つ組織だけでなく、EU 域内の個人にサービスを提供する、または EU 域内の個人の行動を監視する組織にも適用されます。つまり、日本企業であっても EU 居住者の個人データを扱う場合は GDPR の対象となります。

違反時の制裁金は最大で全世界年間売上高の 4% または 2,000 万ユーロのいずれか高い方と、極めて高額です。実際に Meta (旧 Facebook) に 12 億ユーロ、Amazon に 7 億 4,600 万ユーロの制裁金が科された事例があります。

GDPR の基本原則とデータ主体の権利

GDPR は個人データの処理に関する 7 つの基本原則を定めています。

  • 適法性・公正性・透明性: データ処理には法的根拠が必要で、データ主体に対して透明でなければならない
  • 目的の限定: 明確で正当な目的のためにのみデータを収集し、その目的以外に使用しない
  • データ最小化: 目的に必要な最小限のデータのみを収集する
  • 正確性: データを正確かつ最新の状態に保つ
  • 保存期間の制限: 目的に必要な期間を超えてデータを保持しない
  • 完全性と機密性: 適切なセキュリティ対策でデータを保護する
  • アカウンタビリティ: 上記原則の遵守を証明できる体制を整える

データ主体 (個人) には以下の権利が保障されています。

  • アクセス権: 自分のデータがどのように処理されているか知る権利
  • 訂正権: 不正確なデータの修正を求める権利
  • 消去権 (忘れられる権利): 一定の条件下でデータの削除を求める権利
  • データポータビリティ権: 自分のデータを機械可読な形式で受け取り、他のサービスに移行する権利
  • 異議申立権: プロファイリングを含む特定のデータ処理に異議を唱える権利

Cookie 同意バナーと GDPR

EU の Web サイトを訪問すると表示される Cookie 同意バナーは、GDPR (および ePrivacy 指令) の要件に基づいています。

GDPR では、トラッキング目的の Cookie を設定する前にユーザーの明示的な同意を取得する必要があります。重要なポイントは以下のとおりです。

  • オプトイン方式: デフォルトで Cookie を有効にし、ユーザーが拒否する方式 (オプトアウト) は不可。ユーザーが積極的に同意した場合のみ Cookie を設定できる
  • 同意の自由: 「全て同意」ボタンだけを目立たせ、拒否を困難にするデザイン (ダークパターン) は違反とみなされる
  • 同意の撤回: ユーザーはいつでも同意を撤回でき、撤回の手段は同意と同程度に容易でなければならない
  • 必須 Cookie の例外: サイトの基本機能に必要な Cookie (セッション管理、ショッピングカートなど) は同意なしで設定できる

日本の 個人情報保護法では Cookie 自体は個人情報に該当しない場合が多いですが、2022 年の改正で「個人関連情報」として規制が強化されています。

日本企業への影響と対応

GDPR は EU 域外の企業にも適用される「域外適用」の規定を持つため、日本企業も無関係ではありません。

GDPR が適用されるケース

  • EU 居住者向けに日本語以外 (英語、フランス語など) で商品・サービスを提供している場合
  • EU 居住者の行動をトラッキングしている場合 (アクセス解析、広告ターゲティングなど)
  • EU 域内に支社・営業所がある場合

日本の十分性認定

日本は 2019 年に EU から「十分性認定」を取得しており、EU から日本への個人データ移転は原則として追加の保護措置なしで可能です。これは日本の個人情報保護法が GDPR と同等の保護水準を持つと EU が認めたことを意味します。ただし、十分性認定に基づく移転には「補完的ルール」の遵守が必要です。

実務上の対応ポイント

  • プライバシーポリシーの整備: GDPR の要件を満たす透明性の高いプライバシーポリシーを作成する
  • Cookie 同意管理: EU からのアクセスに対して GDPR 準拠の Cookie 同意バナーを表示する
  • データ主体の権利への対応: アクセス権、消去権などの請求に対応できる体制を整える
  • データ最小化の実践: 収集するデータを必要最小限に抑え、保存期間を明確に定める

よくある誤解

日本企業には GDPR は関係ない
EU 居住者にサービスを提供している、または EU 居住者の行動をトラッキングしている日本企業には GDPR が適用される。グローバルに Web サービスを展開している場合、EU からのアクセスがある時点で対象となる可能性がある。
Cookie 同意バナーを表示すれば GDPR に準拠できる
バナーを表示するだけでは不十分。ユーザーが同意する前にトラッキング Cookie を設定しない (オプトイン方式)、拒否を同意と同程度に容易にする、同意の記録を保持するなど、実質的な要件を満たす必要がある。

GDPR と日本の個人情報保護法の比較

GDPR (EU)

Cookie を含む広範なデータが対象。オプトイン同意が原則。制裁金は全世界売上高の最大 4%。忘れられる権利やデータポータビリティ権を保障。

個人情報保護法 (日本)

個人を特定できる情報が対象。Cookie 単体は原則対象外 (個人関連情報として規制あり)。罰則は法人に最大 1 億円。2022 年改正で権利が拡充されたが GDPR ほど広範ではない。

関連用語

個人情報保護法 個人情報の適正な取り扱いを定める日本の法律。個人情報取扱事業者に対し、利用目的の特定、安全管理措置、第三者提供の制限などを義務付ける。2022 年の改正で個人の… Cookie (クッキー) Web サイトがブラウザに保存する小さなデータファイル。ログイン状態の維持や設定の記憶に使われるファーストパーティ Cookie と、複数サイトにまたがる行動追… データ最小化の原則 目的の達成に必要最小限の個人データのみを収集・処理すべきとするプライバシー原則。GDPR の基本原則の 1 つであり、過剰なデータ収集を抑制する。サービス設計の… データ漏洩 組織が保有する個人情報や機密データが、不正アクセス、内部犯行、設定ミスなどにより外部に流出する事象。漏洩した認証情報はダークウェブで売買され、クレデンシャルスタ… デジタルフットプリント インターネット上の活動によって残される痕跡の総称。SNS の投稿、検索履歴、オンライン購入履歴など、意図的に残すもの (アクティブ) と、Cookie やアクセ…

関連記事

世界のプライバシー法規制:GDPR・CCPA・個人情報保護法の比較 GDPR、CCPA、日本の個人情報保護法など、主要なプライバシー法規制の概要とユーザーに認められた権利を解説します。… デジタルフットプリント:あなたがネットに残す痕跡を管理する オンライン活動で蓄積されるデジタルフットプリントの実態と、自分の痕跡を把握・管理するための具体的な方法を解説します。…
← 用語集