MENU
  1. ホーム
  2. ビジネス用語
  3. GDPRって何?わかりやすく解説

GDPRって何?わかりやすく解説

ビジネス用語

「GDPRって聞いたことあるけど、なんか難しそう…」って思ったことない?ニュースで「個人情報漏洩」とか「プライバシー問題」って言葉が出てくるたびに、なんとなく不安になるよね。でも実は、GDPRはそんなに難しい話じゃないんだよ。ヨーロッパで作られたこのルールが「なぜ世界中で話題になっているのか」「自分たちにどう関係するのか」、この記事を読めばスッキりわかるよ。

GDPRって最近よく聞くんだけど、そもそも何なの?

GDPRは「General Data Protection Regulation」の略で、日本語にすると「一般データ保護規則」だよ。つまり「ヨーロッパで個人情報をしっかり守るために作られたルール」ということ。2018年にEU(ヨーロッパ連合)が本格的に施行したんだ。
ヨーロッパのルールなのに、なんで日本でも話題になるの?

それがGDPRのすごいところでね、「EU在住の人の個人情報を扱う会社は、どこの国の会社でもこのルールを守らないといけない」って決まってるんだよ。だから日本の会社がヨーロッパのお客さんにサービスを提供するなら、GDPRに対応しないといけないんだ。違反すると最大で約240億円(!)の罰金になることもあるから、世界中の企業がガチで対応してるんだよ。
個人情報って、名前とか住所のこと?

名前・住所・メールアドレスはもちろん、GDPRではもっと広い意味で「個人データ」を定義してるよ。たとえばIPアドレス(インターネット上の住所みたいなもの)、Cookie(つまりウェブサイトがブラウザに残す小さなメモのこと)、位置情報、顔写真なんかも全部含まれるんだ。「その情報を使えば特定の人を識別できる」ならGDPRの保護対象になるってわけ。
じゃあ私たちにはどんなメリットがあるの?

GDPRがあることで、ユーザーには「忘れられる権利」が生まれたんだ。つまり「私のデータを消して」と企業に要求できる権利のこと。あとデータを他のサービスに移す「データポータビリティ」、自分のデータを見る「アクセス権」なんかも認められてるよ。企業は勝手にデータを使えなくなって、ユーザーが主役になったイメージだね。
📝 3行でまとめると
  1. GDPRは2018年にEUが作った 個人情報保護のルール で、世界中の企業が守る必要がある
  2. 名前・住所だけでなく IPアドレスやCookieも保護対象 になる幅広いルールだ
  3. 違反には最大数百億円の制裁金があり、ユーザーには 忘れられる権利 などが保障されている
目次

もうちょっと詳しく

GDPRが生まれた背景には、インターネットの急速な普及があるんだ。SNSやオンラインショッピングが当たり前になった時代、企業はユーザーの膨大なデータを集めてビジネスに使うようになった。でもその使われ方が「ちょっと待って、それっていいの?」なケースが増えてきたわけ。たとえば2018年にはFacebookが数千万人分の個人データを無断で政治広告に使ったスキャンダルが発覚して大問題になったよね。こういう事件を受けて、ヨーロッパは「個人データは個人のものだ」という考え方を法律で強力に打ち出した。GDPRは単なるプライバシー保護の法律じゃなくて、「デジタル時代における人権」を守る法律でもあるんだ。企業がデータを集める前にユーザーの同意を得ること、目的外にデータを使わないこと、漏洩したら72時間以内に報告することなど、細かいルールがたくさん定められている。

💡 ポイント
GDPRの「G」はGeneralで「一般向け」という意味。特定の業種だけじゃなくすべての企業・組織が対象なのが特徴!

⚠️ よくある勘違い

❌ 「GDPRはヨーロッパの会社だけが守ればいいルールだ」
→ 「EU内の会社だけの問題でしょ?」と思ってしまいがちだけど、これは大きな間違い。
⭕ 「EU在住の人を相手にするすべての会社が対象」
→ 日本・アメリカ・アジアの会社でも、EUのユーザーにサービスを提供するなら完全にGDPRの適用範囲。「ヨーロッパのルールだから関係ない」は通用しないよ。
なるほど〜、あーそういうことか!

[toc]

GDPRが生まれた理由——インターネット時代のプライバシー危機

GDPRが登場する前、ヨーロッパには「EUデータ保護指令」という古いルールがあったんだけど、それは1995年に作られたもの。1995年といえば、スマートフォンもSNSもYouTubeも存在しない時代だよ。そのルールではインターネット時代の個人情報の扱いに全然追いつかなくなってきた。

たとえばこんな話を想像してみて。あなたが靴を1足ネットで検索しただけで、次の日からSNSでも動画サイトでも「その靴のCM」がずっと表示される経験、したことない?これは企業がCookieやトラッキング技術を使って、あなたの行動を追跡してるからなんだ。ユーザーがそれを知らないまま、情報が大手企業のサーバーに蓄積されていく状況が続いていた。

さらに問題になったのが「データの国境越え」だよ。つまりデータが地球の裏側のサーバーに保管されてしまうこと。フランスに住む人の個人情報が、気づかないうちにアメリカのサーバーに移されて、アメリカの法律に基づいて扱われる——そんな状況が当たり前になっていた。各EU加盟国のルールもバラバラで、企業は「規制が緩い国の法律に合わせればいい」という抜け穴を使っていたんだ。

こうした問題を一気に解決するために生まれたのがGDPR。2016年にEUで採択され、企業に準備期間として2年を与えた上で2018年5月25日に正式に施行されたよ。「データ主権は個人にある」という強い理念のもと、デジタル時代に合った強力な個人情報保護の枠組みが作られたんだ。

FacebookとCambridgeAnalytica事件

GDPRが注目を集めた大きなきっかけのひとつが、2018年に発覚した「Cambridge Analytica事件」だよ。政治コンサル会社のCambridge Analyticaが、Facebookから約8700万人分の個人データを無断で取得して、2016年のアメリカ大統領選挙の広告ターゲティングに使っていたことが明らかになった。個人の「いいね!」の傾向を分析して、その人がどんな政治的メッセージに動かされやすいかを予測していたんだ。これがGDPR施行直前に発覚したことで、世界中で「個人データの扱いを真剣に考えないといけない」という空気が一気に高まったんだよ。

GDPRの7つの原則——企業が守らないといけないこと

GDPRには「個人データを扱う時はこれを守れ」という7つの原則が定められているんだ。難しそうに聞こえるけど、一つひとつはすごく当たり前のことだよ。

①適法性・公正性・透明性

「なんで集めるのか、ちゃんと説明して、ルールに沿った方法で集めること」だよ。たとえばアプリを登録する時に「なぜこの情報が必要か」を明示しないといけない。「よくわからないけど全部の権限を許可してね」はNG。

②目的の限定

「集めた目的以外には使わないこと」。ニュースメールに登録したら、そのデータをターゲット広告に流用するのはルール違反。集めた目的だけに使う、これが原則だよ。

③データ最小化

「必要最小限のデータだけ集めること」。カフェのポイントカードを作るのに、家族構成や年収まで聞く必要はないよね。「使うデータだけ集める」がルール。

④正確性

「データは正確に保ち、古くなったら更新・削除すること」。引っ越したのに古い住所がずっと残ってる、なんて状況は許されないんだ。

⑤保存期間の制限

「必要がなくなったデータはちゃんと消すこと」。何年前に退会したユーザーのデータを延々と持ち続けるのはダメ。使い終わったら消す習慣が必要だよ。

⑥完全性・機密性(セキュリティ)

「データを守るための適切なセキュリティを取ること」。漏洩・不正アクセス・紛失から守る義務があるんだ。

⑦説明責任

「これらの原則を守っていることを自分で証明できること」。「守ってます」と言うだけじゃなく、実際にどう守っているかを文書化しておく必要があるよ。

ユーザーに与えられた8つの権利——私たちが使える武器

GDPRの面白いところは、企業への義務だけじゃなくて、ユーザーへの権利もしっかり定めているところだよ。自分のデータに関して、こんな権利が認められているんだ。

アクセス権

「企業が私のどんなデータを持ってる?」と聞けば、企業は答えないといけない。つまり「自分のデータの内容を確認できる権利」のこと。大手SNSなどは「データをダウンロード」機能を提供しているよね、あれがこの権利への対応の一例だよ。

忘れられる権利(削除権)

GDPRで特に有名になったのがこれ。「私のデータを消して」とお願いしたら、企業は原則として消さないといけない。もちろん法的な義務で保管しないといけないデータは別だけど、「もうこのサービス使いたくないし、私の情報全部消して」と言える権利があるんだ。これは画期的だったよ。

データポータビリティの権利

つまり「自分のデータを別のサービスに移せる権利」のこと。Aというサービスに蓄積した音楽再生履歴を、Bというサービスに持っていけるような仕組みを企業は整えないといけないんだ。乗り換えしやすくなる権利とも言えるね。

同意を撤回する権利

「一度同意したけど、やっぱりやめる」と言える権利も保障されている。マーケティングメールの受け取りに同意したけど、あとから「やっぱりいらない」と取り消せる。しかも取り消した後も「同意前と同じサービス」を受けられないといけないんだ(同意を取り消したら不利益を受けるのはNG)。

GDPRに違反したらどうなる?——天文学的な罰金の話

GDPRが世界中の企業を震え上がらせた最大の理由が、その制裁金の重さだよ。違反の重さによって2段階の罰金が定められているんだ。

軽い違反:最大1000万ユーロまたは年間売上の2%

たとえばデータ保護責任者(DPO)を置かなかった、プライバシーポリシーの記載が不十分だった、といったケース。「軽い」とはいっても、1000万ユーロは約16億円(!)だから、中小企業には十分すぎる痛手だよ。

重い違反:最大2000万ユーロまたは年間売上の4%

個人データの不正利用、ユーザーの同意なしにデータを処理した、データ漏洩を隠蔽した、といった深刻なケース。売上の4%というのがポイントで、大企業ほど罰金も巨額になる仕組みだよ。Googleは2019年にフランスから約60億円の制裁金を受けたし、Meta(Facebook)は2023年に約1700億円という前例のない制裁金を受けたんだ。これだけの金額が動くから、企業も本気で対応するしかないわけだね。

日本企業への影響

「日本企業には関係ない」と思ったら大間違い。楽天・ソニー・トヨタをはじめ、ヨーロッパでビジネスをする多くの日本企業がGDPR対応を迫られた。ウェブサイトのCookie同意バナーを設置したり、プライバシーポリシーを書き直したり、データ管理の担当者を置いたり——かなりのコストと手間がかかった企業も多かったよ。

GDPRが変えた世界——私たちの日常への影響

GDPRが施行されてから、私たちの日常にもいろんな変化が起きているんだよ。

Cookieバナーが増えた

ヨーロッパのウェブサイトを開くと、必ず「このサイトはCookieを使っています。同意しますか?」というポップアップが出てくるよね。あれはGDPRへの対応なんだ。Cookieを使って追跡する前に、ユーザーの同意を取らないといけないから。「全部受け入れる」「拒否する」「設定を変える」から選べるのが正しい対応で、「同意しないと使えない」は原則NGとされているよ。

プライバシーポリシーが読みやすくなった

以前は「利用規約・プライバシーポリシー」といえば、法律の専門家でもなければ読めないような難解な文章が延々と続いていたよね。GDPRは「わかりやすく書くこと」を義務付けているから、多くのサービスが平易な言葉でポリシーを書き直すようになったんだ。

データ漏洩の報告義務

GDPRの前は、企業がデータを漏洩しても「こっそり対処してばれないようにしよう」ということもあった。でもGDPRでは漏洩を知ってから72時間以内に当局に報告する義務があるんだ。ユーザーへの通知も必要になる。隠蔽できなくなったことで、セキュリティに真剣に取り組む企業が増えたよ。

GDPRが世界の基準になった

GDPRの影響はEUにとどまらなかった。アメリカのカリフォルニア州は2020年に「CCPA(カリフォルニア州消費者プライバシー法)」を施行し、日本も2022年に個人情報保護法を大幅に改正してGDPRに近い内容を取り込んだ。「プライバシー保護の世界標準」を作ったのがGDPRといえるんだ。グローバルにビジネスをする企業がGDPRに対応することで、実質的に世界中のユーザーが恩恵を受けるようになっているよ。

「Privacy by Design(プライバシー・バイ・デザイン)」という考え方

GDPRで広まった考え方のひとつが「Privacy by Design」、つまり「最初からプライバシーを守れる仕組みを設計に組み込む」という発想だよ。後から「あ、プライバシー対策しなきゃ」と付け足すんじゃなくて、最初のシステム設計の時点からプライバシーを守れるような仕組みを作る——それが求められるようになったんだ。エンジニアや企業の設計思想そのものを変えた、大きな転換点だったといえるね。

ビジネス用語
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

案内人のアバター 案内人

大人になってから「これ知らなかった…」と恥ずかしい思いをした経験から、このサイトを作りました。お金・仕事・社会のしくみって、学校で教えてくれないのに知らないと損することだらけ。むずかしい言葉を「あーそういうことか!」って思えるまでかみ砕いて説明するのが得意です。主に経済・法律・税金・ライフイベント周りの用語を毎日更新中。

関連記事

目次