GDPR(General Data Protection Regulation:一般データ保護規則)

EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。

また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。

※  EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン

なお、EU各国の個人情報保護機関については、こちらをご覧ください


GDPRに関するセミナー

個⼈情報保護委員会は、平成30年11⽉20 ⽇(⽕)、イザベル・ファルク=ピエロタン⽒(仏・情報処理と⾃由に関する国家委員会(CNIL)委員⻑)を始めとする国内外の有識者をお招きし、GDPR(⼀般データ保護規則)に関するセミナーを開催しました。
 詳細は以下よりご覧ください。

  GDPRセミナー~執行機関とビジネス実務の観点から~


EU域外適用に関する影響

GDPRはEU域外の事業者へも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。

GDPRの前文及び条文について、日本語仮訳を作成いたしましたので、掲載いたします。


GDPRに関するガイドラインのうち、次に掲げるものについては、日本語仮訳を作成いたしましたので、掲載いたします。


また、欧州委員会(European Commission)がWebサイトに掲載している資料の内、以下の日本語仮訳を作成いたしましたので掲載いたします。


なお、日本語仮訳について当委員会は責任を負いかねますので、ご了承ください。


越境データ移転

GDPRは、EU域内の個人データのEU域外への移転について規定します。

EU域内から域外へ個人データを移転するには、

  • 十分な個人データ保護の保障
    (欧州委員会が、データ移転先の国が十分なレベルの個人データ保護を保障していることを決定)
  • BCR(Binding Corporate Rules:拘束的企業準則)の締結
    (企業グループで1つの規定を策定し、データ移転元の管轄監督機関が承認)
  • SCC(Standard Contractual Clauses:標準契約条項)の締結
    (データ移転元とデータ移転先との間で、欧州委員会が認めたひな形条項による契約の締結)
  • 明確な本人同意

等、一定の条件を満たさなくてはなりません。

なお、欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域は2019年1月現在、以下のとおりです。

アルゼンチン共和国 アンドラ公国 イスラエル国
ウルグアイ東方共和国 英国王室属領ガーンジー 英国王室属領ジャージー
英国王室属領マン島 カナダ スイス連邦
デンマーク王国自治領フェロー諸島 日本国
ニュージーランド アメリカ合衆国(※プライバシーシールドに基づく)

参考(外部サイト)