GDPR

GDPR（General Data Protection Regulation）とは、EU域内の個人の情報（個人データ）を守るために、個人データの「処理」と「移転」に関する法的ルールなどを規定したEUの法律です。日本語では「一般データ保護規則」と訳されており、「世界で最も厳しい個人情報保護法」などと呼ばれることもあります。個人データの保護に加え、データの対象である個人（データ主体）の権利の保護も、GDPRの主な目的の一つです。

GDPRの保護対象となる個人データとは例えば、以下のような情報を指します。

氏名、電話番号、住所、身分証明番号、メールアドレス、趣味、過去の購買に関する情報、保健情報、ネット上での行動（IPアドレスやクッキーといったオンライン識別子など）、身体的データ、生理的データ、遺伝的データ、精神的データ、経済的データ、文化的、社会的データなど。

なお、日本の個人情報保護法では、上記のメールアドレスや電話番号、クッキーなどはそれ単体では「個人情報」に該当せず、その他の情報と照合することで個人を識別できる場合にのみ、「個人情報」となり得ます。このように、GDPRにおける「個人データ」と日本の個人情報保護法における「個人情報」の示す範囲は少々異なっています。

GDPRはEU加盟国27か国と、アイスランド、リヒテンシュタイン、ノルウェーを合わせたEEA（欧州経済領域）域内を対象とする法律です。ただし、EEA域内の国々だけでなく、日本を含む域外の国の事業者であっても、域内に所在するデータ主体の個人データを取り扱うのであればGDPRの適用対象（域外適用）となります。具体的には、以下のいずれかのケースが想定されます。

EU内（EEA域内）にビジネスの拠点を有している（例：EU内に子会社がある場合など）
EU内に事業拠点があるか無いかにかかわらず、EU向けに商品やサービスを提供している（例：EU向けECサイトを運営している、EU企業と通信のやり取りがある、など）
EU内に事業拠点があるか無いかにかかわらず、EUのユーザーの行動監視をしている（例：ホームページなどでクッキーを用いてEUのユーザーの閲覧履歴を収集し、ターゲティング広告を配信している、など）

GDPRは内容の厳格さに加え、違反時の高額な制裁金でも知られています。ただ、順守命令や警告、認証撤回といった処分もあり得るため、違反したからといって必ず制裁金を支払わねばならないとは限りません。

制裁金が科される場合の金額は違反の程度によって異なりますが、上限額は以下2つのうちいずれかの類型にしたがって決定されます。

【比較的軽度の違反の場合】