「GDPR」という法律をご存知でしょうか?
「EUの法律だから日本には関係ない」と思っていると非常に危険です。日本国内で運営しているウェブサイトであっても、EU在住者が利用すれば適用範囲に含まれます。事前に対応しておかないと、多額の制裁金を科される可能性があります。

インターネットを介する以上、ユーザーがどこの国からアクセスしているかは予測できません。あなたのサービスも知らないうちにEU圏内の利用者に使われているかもしれないのです。

GDPR(EU一般データ保護規則)
2018年5月25日よりEU域内において適用が開始された個人データの運用に関する法律です。EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。端的に言えば「個人データ」の「処理」と「移転」に関する法律です。GDPRの適応により、個人データを収集、処理をする事業者に対して、多くの義務が課されることになりました。

今回は記事ではGDPRについて、日本国内の事業者として対応しておくべき点をまとめていきます。これまでもデータ保護指令というルールは存在していたようですが、同じEU内でも国によって規制内容が異なっていたことから、ルールを統一する目的でGDPRが制定されました。日本でマイナンバーの普及に伴って2017年に施行開始された、改正個人情報保護法のEU域版といった感じですがGDPRのほうが厳格で罰則も厳しいと言われています。

参考NEWS記事の紹介となってしまいますが、国内企業で第一例目かと話題になった「日本企業初の「GDPR」違反の可能性、プリンスホテルなど -DIAMOND online」事例や、「グーグルの「GDPR」違反から見えた、個人データ収集を巡るいくつかの課題 – WIRED」からも事の深刻さは理解できるのではないでしょうか。

GDPRの影響を受ける日本の組織

今回の法規制における最大のポイントが、日本の企業・ウェブサイトも例外ではないということです。域内(EU加盟国 27カ国とアイスランドとリヒテンシュタイン、ノルウェー)で取得した「個人データ」を域外に「移転」することは原則禁止されており、日本のような域外へ移転させるには、『移転先の国、地域が十分に個人データ保護されている』か、『個々のサイトや企業が適切な保護措置を行っている』ことが条件になってきます。

日本は現在のところ残念ながら「個人情報保護が十分なレベル」とは認められていないため、個々の企業・ウェブサイトがそれぞれ厳格な対応を行わなければならないのです。日本においてGDPRの影響を受けるのは以下の3つの企業・団体・機関です。

  • EUに子会社、支店、営業所、駐在員事務所を有している
  • 日本からEUに商品やサービスを提供している
  • EUから個人データの処理について委託を受けている(データセンター事業者やクラウドベンダーなど)

例えば、EUに支店や営業所を作り、現地の人を従業員として雇用した場合、従業員の個人データの保護措置をGDPRに沿って行う必要があります。多くの企業は、1995年に策定されたEUデータ保護指令に沿って整備した、個人情報保護の管理施策を適用しているので、2018年のGDPRの施行において、厳格化に向けた追加対応が必要です。2番目のEU圏内に日本からサービスを提供している場合というのが、国内事業者が気を付けなければいけないポイントです。知らず知らずのうちにGDPR違反とならないようにしっかりとした対応を行っておきましょう。海外に拠点を持っていない場合でも、EU居住者が日本のWebサイトから物品を購入する際、氏名や電話番号、クレジットカード番号などを入力すると、GDPRが定める義務内容を満たす、諸要件を整える必要があります。

GDPRにおいて把握しておきべきポイント

GDPRの適用対象

GDPRの保護対象となる「個人データ」には、域内に居る個人のデータが対象(国籍やどこに住んでいるかを問わない)であることはもちろん、地域に短期出張や旅行、出向している個人のデータも含みます。
さらには、日本などの第三国から域内に送付された個人データも対象になります。完全に匿名化されたデータは対象外となるようです。

GDPRの適用範囲

GDPRは、域内に設立された企業やサイト、団体はもちろんのこと域外であっても、個人データの対象に対して商品またはサービスを提供する場合個人データの対象の行動を監視する場合、適用範囲に含みます。つまり、WEBサイトの場合は域内からのアクセスを遮断しない限りGDPRの適用範囲になる可能性が十分にありえるということになります。

個人データの範囲

一口に個人データと言っても、内容はさまざまですが、現時点でJETROサイトに上がっているGDPRで保護の対象となる個人データの例は以下のようになっています。

  • 氏名
  • 識別番号
  • 所在地データ
  • メールアドレス
  • オンライン識別子(IPアドレス、クッキー識別子)
  • 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

IPアドレスやクッキーについても個人情報とされていることから、アクセス解析やWEB広告を導入している場合、注意が必要です。

GDPR違反に対する罰則

GDPRに違反すると、以下のいずれか高い方が適用されます。

  • 2,000万ユーロ(約30億円)
  • 全世界年間売上高の4%

これは大企業だけでなく、域外の中小企業も対象です。実際にGoogleなどには数百億円規模の制裁金が科された事例もあり、世界中で強い影響を与えています。

GDPR違反の制裁事例
違反企業 内容
Google GDPR違反により 5,000万ユーロ(約65億円) の制裁金。個人データの利用目的や保存期間が不透明で、ユーザーから「有効な同意」を得ていないと判断された。(2019年1月, フランスCNIL)
Amazon GDPR違反により 7億4,600万ユーロ(約970億円) の制裁金。個人データの広告利用に関する同意取得が不適切とされた。(2021年7月, ルクセンブルク)
Meta アイルランドの規制当局から、累計数千億円規模の制裁金。広告ターゲティングやデータのEU域外移転などが問題視された。(2022年以降、複数回)

具体的な対応策

データの収集および利用目的について利用者に明示的に同意してもらう必要があります。

前出の通り、日本においてはまだ十分に個人データ保護されている国と認められていない為、標準契約条項(Standard Contractual Clauses:SCC)」の締結、または「拘束的企業準則(Binding Corporate Rules: BCR)」を承認してもらわないといけないそうです。

法律関係は複雑で、勝手な認識違いは命取りになりますので、可能性がある事業サイトを運営されている場合は、詳細は担当弁護士さん、またはEU関連の法律に詳しい弁護士さんに相談するようにしましょう。

参考:日本貿易振興機構(ジェトロ)発行
EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)

1.GDPR関連規定の作成

自社が扱う個人データがどのようなもので、どういった経路で入手しているのか(どういった経路で入手予定か)を把握する必要があります。それらのボリュームと、個人データを扱う予定の拠点数や従業員数なども割り出します。そのうえで、GDPR関連の自社規定を策定する必要があります。

例:BMWのプライバシーステートメント

2.データ保護責任者を置き、社内体制を整備する。

GDPRでは、以下の4つに該当しなければDPO(データ保護責任者)の設置が義務づけられているわけではありませんが、GDPR 関連業務をスムーズに行うためにも明確な責任者がいた方が良いでしょう。

  • 処理が公的機関または団体によって行われる場合(ただし、司法能力をもとにした裁判所の行為を除く)
  • 管理者または処理者の中心的業務が、その性質、適用範囲及び/または目的によって、大規模にデータ主体の定期的かつ系統的な監視を必要とする取扱い作業である場合
  • 管理者または処理者の中心的業務が、第9条で言及された特別な種類のデータおよび第10条で定める有罪判決及び犯罪に関する個人データを大規模に取扱う場合
  • EU法または加盟国の国内法でDPOの選任が義務付けられている場合

3.サイトをGDPRに対応する為にリニューアルする

現状、提供しているサービスがユーザーのメールアドレスや氏名などの個人情報やクッキーを取得している場合は対応するカタチにバージョンアップをする必要がでてきます。具体的にはオプトイン(個人情報取得に対する許可に応じること)を設けることやポップアップ表示などで個人データ、クッキー取得を明確な許可・同意をもらうように改修する必要があります。

ユーザーが個人データ取得に関して「はい」か「いいえ」を選択できるようにするほか、セミナー参加など、一時的な情報利用のケースでは、セミナー開催後の個人データ削除を希望するかを尋ねるフォームを用意し、アクション後にすみやかに削除する仕組みを作る必要がでてきます。

一般的なWordPressのWebサイトであれば、こちらのプラグインでGDPRに対応可能です。

2025.09.29

WordPressのGDPR対応|Complianzの設定手順と対象国のみ同意バナーを表示する方法

GDPR対応、行なっていますか? サイト上に「クッキーに同意しますか?」などと表示されるメッセージを表示しないと、GDPRに違反する可能性があります。 そこで当記事では、GDPR対策のクッキー同意バナーを表示できるWordPressプラグイン「Complianz」の設定方法をご紹介いたし...

4.社内、サービスに関わる全員の理解度を向上する

GDPR対策を確実に行うためには社員全員がGDPRとGDPR対策について理解している必要があります。個人データを扱う部署に対しては特に重点的に研修などを行って周知徹底に務めましょう。

5.障害が起きたときのフローを構築する

GDPRでは、個人データが侵害されるインシデント(障害)が起きた際、72時間以内に監督機関へ報告することを義務づけています。ただし、インシデント発生から72時間ではなく、インシデントの可能性を認知した時点から72時間とされている点に注意が必要です。報告が72時間を過ぎた場合も違反とみなされ制裁がとられると記載があります。インシデント(障害)発生時のフローを見直し、最適化に向けて改善して備える必要があります。

6.GDPR対象国内ではサイトを表示させない

国内大手ポータルサイトのYahoo!JAPANは、2022年4月よりEUおよび英国圏からのアクセスを制限しています。明確に「GDPRのリスク回避」とは報道されていないものの、要因の1つではないかとする情報があります。

Zホールディングス傘下のヤフーは1日、英国と欧州経済地域(EEA)で大半のサービスの提供を4月6日以降に中止すると発表した。(中略)
規制強化に伴って必要になる可能性があるサービスの再設計、当局との交渉や情報収集にあたる社員の人件費などが膨らむとみて「採算が合わない」(ヤフー)と判断した。

出展:ヤフー、欧州でサービス提供中止 法令順守の採算合わず – 日本経済新聞

日本国内の売上がほぼ締めているサイトで、かつ対応コストが採算に見合わないケースにおいては、あえて欧州圏を捨てるのも一つの選択肢なのかもしれません。

まとめ

GDPR対策については、システムの変更や修正だけでなく、社内での個人情報の取り扱いについても改めて見直す機会になるかと思います。GDPRの施行を経て、これまではクッキーを含む個人情報の提供により無料で提供されてきたネットサービスは大きく変容を迫られてくるでしょう。今回のような法規制の厳格化は規則が増えるばかりで対応が大変になる…とネガティブな印象が大きいかもしれません。しかし、このような法整備を受け身にとらえるのではなく、これを機に、ユーザにとって一層安心できるウェブサイト作りを心掛けていくように考えていきましょう。個人情報保護をユーザーとのよりよい関係づくりと捉え、本質的に取り組むことでより良いサービスへ成長することが必要です。

GDPRに関して都合の良い判断をするのはとてもキケンなことです。余裕を持った段階から外部の専門家の力を借りるなど、十分な体制・ルールを整えることを検討していきましょう。