個人データの定義

GDPRでは、以下のような情報を 「個人データ（Personal Data）」 として扱います。

• 氏名
• 住所
• メールアドレス
• 電話番号
• IPアドレス
• クッキー情報
• 位置情報
• 健康情報 など

データ処理の6つの合法的根拠

個人データを収集・処理するには、以下のいずれかの合法的根拠（Lawful Basis）が必要です。

• 本人の同意（Consent）
  • 例：WebサイトのCookie同意バナー。
• 契約の履行（Contract）
  • 例：商品購入時の支払い情報。
• 法的義務（Legal Obligation）
  • 例：税務申告のためのデータ保存。
• 重大な利益保護（Vital Interests）
  • 例：緊急医療データの処理。
• 公的機関の業務（Public Task）
  • 例：警察の犯罪捜査データ。
• 正当な利益（Legitimate Interests）
  • 例：不正アクセス防止のためのログ監視。

データ主体の権利

GDPRでは、個人（データ主体）に以下の 8つの権利 を保証しています。

• アクセス権（Right to Access）
  • 自分のデータがどのように処理されているか確認できる。

• 訂正権（Right to Rectification）
  • 不正確なデータを修正できる。

• 消去権（Right to Erasure, 「忘れられる権利」）
  • データの削除を要求できる。

• 処理制限権（Right to Restriction of Processing）
  • データ処理を一時的に制限できる。

• データポータビリティ権（Right to Data Portability）
  • 自分のデータを他のサービスに移行できる。

• 異議申し立て権（Right to Object）
  • 特定のデータ処理（マーケティングなど）を拒否できる。

• 自動意思決定の拒否権（Right to Object to Automated Decision Making）
  • AIによる自動判断に異議を申し立てできる。

• 通知を受ける権利（Right to be Informed）
  • データの利用目的を知らされる。

データ漏洩時の対応

企業は72時間以内 に監督機関（Data Protection Authority）へ報告する義務があります。

DPO（データ保護責任者）の設置

大規模なデータ処理を行う企業は DPO（Data Protection Officer：データ保護責任者） を任命する必要があります。

GDPR 違反時の罰則

GDPRに違反した場合、以下の 厳しい罰則 が課せられます。

• 最大2,000万ユーロ（約30億円）または年間売上高の4%の高い方
  • 例：GoogleはGDPR違反で5000万ユーロの罰金

• 軽度の違反でも最大1,000万ユーロまたは年間売上高の2%
  • 例：適切なデータ管理を怠った場合

GDPR対応のポイント

企業が考慮する GDPR に対応するための基本的な対策です。

• プライバシーポリシーの更新
  • GDPRに準拠したポリシーを作成。

• データの取得と処理の適正化
  • 不要なデータを収集しない。

• データ削除の仕組みを整備
  • ユーザーが簡単にデータ削除を依頼できるようにする。

• 適切なセキュリティ対策
  • 暗号化やアクセス制限を導入。

• データ処理記録の保持
  • どのデータをどのように処理しているか文書化。

• DPOの設置（必要な場合）
  • 個人データを大量に扱う企業はDPOを配置。