EU GDPR(General Data Protection Regulation / 一般データ保護規則) は2018年5月25日に施行され、2026年現在もEU内で 最も厳格な個人情報保護法 として運用されています。違反時の罰金上限は 4,000万EUR または全世界年間売上高の4%(いずれか高い方) で、これまでに Meta、Amazon、Google等にそれぞれ数億EUR規模 の罰金が科されています。
日系企業のドイツ子会社・支社、または日本本社が EU居住者の個人データを取り扱う場合(B2C事業、EU 駐在員管理、EU顧客対応 含む)、GDPR への対応は 避けて通れない経営課題 です。
本記事では、日系現地法人が2026年に押さえるべき GDPR実務ポイント を整理します。
GDPR の基本
適用範囲(域外適用)
GDPR は EU/EEA 居住者の個人データ を処理する事業者に適用されます。事業者の所在地は問いません。
適用される典型的なケース
- EU内に拠点がある事業者 :ドイツ子会社・支社が個人データを処理
- EU居住者向けに商品・サービスを提供 :ECサイト、Webサイトでの会員登録
- EU居住者の行動を観測 :Cookie追跡、行動分析
個人データの定義
「個人データ」は 広く定義 されています:
- 直接識別情報 :氏名、住所、電話番号、メールアドレス
- 間接識別情報 :IPアドレス、Cookie ID、デバイスID、位置情報
- 特殊カテゴリ :人種、宗教、政治的意見、健康情報、生体情報、性的指向
注意:B2B でも適用される
「Mr. Tanaka, CTO, 〇〇株式会社」というビジネス連絡先も 個人データ。B2B 営業・マーケでも GDPR の対象です。
6つの処理原則
GDPR は処理者に 6つの原則 の遵守を求めます:
| 原則 | 内容 |
|---|---|
| 適法性・公正性・透明性 | 法的根拠あり、本人に通知済み |
| 目的の限定 | 当初の目的を超えた利用は不可 |
| データの最小化 | 必要最小限のデータのみ収集 |
| 正確性 | 不正確なデータは速やかに修正 |
| 保管制限 | 必要期間のみ保管、目的達成後は削除 |
| 完全性・機密性 | 不正アクセス・喪失を防ぐ技術的・組織的措置 |
6つの処理の法的根拠
個人データを処理するには 6つの法的根拠 のいずれかが必要:
| 根拠 | 典型的な利用シーン |
|---|---|
| 本人の同意 | マーケティング、Cookie、ニュースレター |
| 契約の履行 | 顧客との取引、雇用契約 |
| 法的義務 | 税務記録、雇用関係の法定報告 |
| 重要な利益の保護 | 緊急医療等、生命に関わるケース |
| 公共の利益・公的権限 | 主に行政機関 |
| 正当な利益 | 営業活動、データ分析(バランステスト要) |
データ主体の8つの権利
EU居住者は以下の8つの権利を持ちます:
- 情報を受ける権利(Articles 13, 14)
- アクセス権(Article 15):自分のデータの照会
- 訂正権(Article 16):誤ったデータの修正
- 削除権/忘れられる権利(Article 17)
- 処理の制限権(Article 18)
- データポータビリティ権(Article 20):他社への移管
- 異議申立権(Article 21)
- 自動的な意思決定を受けない権利(Article 22)
対応義務
- 要求から1ヶ月以内 に応答
- 複雑なケースは2ヶ月延長可能
- 無料での対応 が原則
日系企業がよく対応漏れする5項目
① Cookie 同意(ePrivacy + GDPR)
必要な対応
- 訪問者がサイト初回訪問時に Cookie 同意バナー を表示
- オプトイン形式 (事前同意)が原則、オプトアウトは無効
- カテゴリ別同意 :必須・分析・マーケ・広告で分けて選択可能
違反例
- 「Cookie 利用継続でみなし同意」表示 :違反、罰金対象
- 同意なしでGoogle Analytics・広告ピクセルを発火 :違反
推奨ツール
- Consent Management Platform:OneTrust、Cookiebot、Usercentrics
- 無料プラン:Cookieyes、Termly(小規模サイト向け)
② Data Processing Agreement(DPA / 処理者契約)
必要なケース
- クラウドサービス利用 :AWS、Azure、Google Cloud、Salesforce、HubSpot等
- 外部委託 :マーケティング会社、コールセンター、BPO
DPA 必須記載項目
- 処理目的・期間・対象データ
- 処理者の義務(機密保持、技術的措置)
- 再委託の取扱い
- データ侵害時の通知義務
- 監査権
- 終了時のデータ削除・返還
③ 越境移転(Cross-Border Transfer)
EU から EU/EEA 域外 へのデータ移転には特別な要件があります。
移転の3つのルート
| ルート | 内容 | 日本企業への適用 |
|---|---|---|
| Adequacy Decision | EU 委員会が認定した「十分性のある国」へ | 日本は2019年に認定済み(PPC認定の事業者) |
| Standard Contractual Clauses (SCC) | EU標準契約条項の締結 | 日本以外の第三国(米国、インド等) |
| Binding Corporate Rules (BCR) | 多国籍企業内の拘束的グループ規程 | 大企業向け |
日本企業の典型的なケース
- EU子会社 → 日本本社へのデータ移転:
- 日本本社が個人情報保護委員会(PPC)の 認定 を受けている → Adequacy 適用
- 認定を受けていない → SCC 必須
- EU子会社 → 第三国(中国、インド等)の関連会社:SCC 必須
④ Data Protection Impact Assessment(DPIA)
「重大なリスクを伴う処理」には事前のリスク評価(DPIA)が必須。
DPIA が必要なケース
- 大規模な個人データの 体系的な監視
- 特殊カテゴリデータ(健康、生体、犯罪情報)の大規模処理
- 自動的な意思決定(信用スコアリング、AI採用)
- 新技術の利用 (AI、IoT、生体認証)
DPIA の構成
- 処理の体系的記述
- 必要性・比例性の評価
- 個人の権利・自由へのリスク評価
- リスク軽減措置
- 残余リスクの評価
⑤ Data Protection Officer(DPO / データ保護責任者)
DPO 選任が 必須 なケース
- 公的機関
- 大規模な体系的監視 を行う事業者
- 特殊カテゴリデータの大規模処理 を行う事業者
DPO 選任が 推奨 なケース
- 従業員数20名以上
- BtoCで個人データを大規模処理
- グループ全体でのGDPR対応統括
DPO の要件
- 専門知識:法律+データ保護の専門知識
- 独立性:他の業務との利益相反なし
- 監督機関への登録:DPO の連絡先を公表
内部選任 vs 外部委託
- 内部選任:法務・IT 部門の職員を兼任、追加教育必要
- 外部委託:月額 200〜500 EUR の DPO サービス利用、中小企業に推奨
データ侵害(Data Breach)通知義務
通知の3つの要件
① 監督機関への通知
- 発見から72時間以内
- ドイツの場合:各州の Datenschutzbehörde(例:BfDI / バイエルン州ならBayLDA)
- 通知内容:侵害の性質、影響を受けたデータ主体数、推測される結果、対応措置
② データ主体への通知
- 高リスクの場合のみ (監督機関への通知より厳格)
- 平易な言葉で、影響と対応策を通知
③ 内部記録
- 全ての侵害(高リスクでないものも含む) を記録
- 監督機関の要請時に提示できる状態で保管
違反時のペナルティ
- 通知遅延・未通知 :4,000万EUR or 全世界年商4%
- 2018年以降の制裁事例:British Airways(2018年)、Marriott(2018年)、Meta(2024年)
GDPR 違反による罰金事例(2018年〜2025年)
| 企業 | 年 | 罰金額 | 違反内容 |
|---|---|---|---|
| Meta(Facebook) | 2023 | 12億EUR | 米国へのデータ移転(SCC 不備) |
| Amazon | 2021 | 7.46億EUR | 同意なしの広告ターゲティング |
| TikTok | 2023 | 3.45億EUR | 子どものデータ処理 |
| 2019 | 5,000万EUR | 透明性・同意の不備 | |
| H&M | 2020 | 3,530万EUR | 従業員監視 |
| British Airways | 2018 | 2,040万EUR | データ侵害(顧客情報流出) |
中小企業の罰金事例
中小企業も対象です:
- ドイツの不動産会社 :1.45万EUR(顧客データの不適切な保管)
- フランスの病院 :1.5万EUR(患者データの誤送信)
- イタリアのEC事業者 :3,500EUR(Cookie 同意不備)
日系企業の典型的な対応パターン
パターンA:EU子会社(B2B事業)
対応必要項目
- ☐ DPA(データ処理者契約)の締結
- ☐ プライバシーポリシー(独語・英語)の整備
- ☐ EU内 Data Protection Officer の選任(外部委託推奨)
- ☐ 越境移転(日本本社・第三国)への対応
- ☐ データ主体権利対応プロセスの整備
- ☐ データ侵害通知プロセスの整備
推奨予算
- 初年度整備:10,000〜30,000 EUR
- 年次運用:3,000〜10,000 EUR
パターンB:EU子会社(B2C事業、EC含む)
対応必要項目
- 上記 A の全て、加えて:
- ☐ Cookie 同意バナー(CMP 利用)
- ☐ DPIA(顧客データ大規模処理)
- ☐ オンライン同意取得プロセス
- ☐ ニュースレター運用(オプトイン)
- ☐ 顧客の権利行使対応窓口
推奨予算
- 初年度整備:30,000〜80,000 EUR
- 年次運用:10,000〜30,000 EUR
パターンC:日本本社からの直接サービス
対応必要項目
- ☐ EU内代理人(Article 27 Representative)の選任
- ☐ プライバシーポリシー(多言語)
- ☐ Cookie 同意(EU からのアクセスに対応)
- ☐ 越境移転対応(PPC認定 or SCC)
2026年の主要トピック
① AI Act との連携
EU AI法(2026年8月本格適用)と GDPR は 重複的に適用。
- 高リスクAI が個人データを処理する場合、両法の要件を満たす
- AIシステムの透明性義務(GDPR Article 22 + AI Act)
- DPIA + AI Act の Conformity Assessment の同時実施
② Cookie ePrivacy Regulation の議論
ePrivacy Regulation の最終形が2026年中に確定する可能性。Cookie 規制が GDPR から分離・特別法化 される方向。
③ Schrems III 訴訟
米国へのデータ移転の有効性を巡る訴訟(Schrems II の続編)。判決によっては 米国クラウドサービスの利用に制約 が発生する可能性。
実務チェックリスト
整備フェーズ(最初の3ヶ月)
- ☐ 個人データ取扱い記録(Article 30 Records)の作成
- ☐ プライバシーポリシーの整備・公表
- ☐ Cookie 同意バナーの設置
- ☐ DPO の選任(必須または推奨ケース)
- ☐ DPA の締結(クラウド・委託先全て)
- ☐ 越境移転の法的根拠確立
- ☐ データ主体権利対応プロセスの整備
- ☐ データ侵害通知プロセスの整備
運用フェーズ(継続)
- ☐ Article 30 Records の年次更新
- ☐ DPIA の必要時実施
- ☐ 従業員研修の年次実施
- ☐ 監督機関への登録情報の更新
- ☐ 委託先の年次監査
- ☐ 削除要請への対応
改善フェーズ(年次)
- ☐ プライバシーポリシーの見直し
- ☐ DPA の見直し
- ☐ 法令改正・判例への対応
- ☐ 内部監査・第三者監査
まとめ:5つの最重要ポイント
- 域外適用 :EU 居住者のデータを扱う限り、本社所在地は無関係
- Cookie 同意のオプトイン :日本式の「みなし同意」は違反
- 越境移転 :日本は Adequacy 認定済み、第三国は SCC 必須
- データ侵害は 72 時間以内 :通知遅延だけで罰金対象
- DPO 選任は推奨 :従業員20名超は外部 DPO サービスがコスト効率良い
おわりに
GDPR は施行から8年経過した2026年現在も、EU市場での事業継続のリスク要因第一位 です。違反時の罰金は事業の存続を脅かすレベル、対応の遅れは取り返しがつきません。
TSM合同会社では、GDPR コンプライアンス整備を、現状診断から DPO 選任、Cookie 同意ツール導入、越境移転対応、従業員研修まで、お客様の事業規模・業種に応じてサポートしています。
本記事の情報は2026年5月時点のものです。GDPR および EU データ保護法は判例・ガイドラインが頻繁に更新されます。実際の対応にあたっては、最新の情報と現地弁護士・データ保護専門家のアドバイスをご確認ください。