| 法令の情報時期:2016年05月 | ページ作成時期:2026年06月 |
目的
本規則は、個人データの処理に関する自然人の保護および個人データの自由な移動に関する規則を定めるものである。 主な目的は以下の通りである。
■ 個人データの処理に関して自然人の基本的人権および自由、特に個人データ保護の権利を保護すること。
■ 個人データの保護を理由として、EU内における個人データの自由な移動が制限または禁止されないようにすること。
概要
本規則は、1995年のデータ保護指令(95/46/EC)に代わり、デジタル化が進む社会において個人の権利を強化し、事業者の予見可能性を高めるために制定された。
■ 適用範囲:電子的・自動的な手段による個人データの処理、またはファイルシステムの一部を構成する非自動的な処理に適用される。
■ 地理的適用範囲:EU域内に拠点を持つ管理者の活動だけでなく、EU域外の事業者がEU居住者に対して商品・サービスを提供する場合や、その行動を監視する場合にも適用される。
■ 主な事業者要件:適法なデータ処理根拠の確保、透明性の高い情報提供、データ主体の権利(アクセス、消去等)への対応、適切なセキュリティ対策、データ侵害時の通知義務などが含まれる。
適用除外(対象外・猶予・免除等)
法令全体の適用から除外される対象は以下の通りである。
■ 連合法の範囲外にある活動の過程で行われる処理。
■ EU基本条約(TEU)の特定の範囲内にある活動(外交・安全保障等)に関連して加盟国が行う処理。
■ 自然人が、純粋に個人的な活動または家庭内の活動として行う処理。
■ 刑事犯罪の予防、捜査、訴追等の目的で権限ある当局が行う処理。
事業者が注意すべき内容
| 本法令が定める事業者に係わる主な要件は次の通りとなります。本項は網羅的なものではないため、詳細や罰則については、個別調査にて承ります。 ご関心がございましたら、お気軽にお問い合わせください。 |
事業者は、自らの役割(管理者または処理者)に応じて、以下の要件を遵守する必要がある。
■ 処理の原則と適法性(第5条、第6条) 個人データは適法、公正かつ透明性のある方法で処理されなければならない(第5条)。処理が適法とされるには、データ主体の同意、契約の履行、法的義務の遵守、または管理者の正当な利益(データ主体の権利が優先する場合を除く)などの根拠が必要である(第6条)。
■ 同意の条件(第7条、第8条) 同意に基づく処理を行う場合、管理者は同意があったことを証明できなければならない。また、データ主体はいつでも同意を撤回できる権利を有する。子供(原則16歳未満)に対して情報社会サービスを提供する場合、親権者による同意または許可が必要となる(加盟国により13歳まで引き下げ可能)(第8条)。
■ 特別なカテゴリーの個人データの処理制限(第9条、第10条)人種、政治的意見、宗教的信条、遺伝データ、生体データ、健康データ、性的指向等の処理は原則として禁止されている。明示的な同意や雇用法上の義務、重大な公共の利益など、特定の例外条件を満たす場合に限り処理が認められる。有罪判決や犯罪態様に関するデータの処理も厳格に制限される(第10条)。
■ 透明性とデータ主体の権利(第12条~第22条)管理者は、簡潔、透明かつアクセス容易な方法で、データ主体に情報を提供しなければならない。データ主体は以下の権利を行使でき、管理者は原則として1か月以内に対応する必要がある(第12条)。
- アクセス権:自らのデータが処理されているかの確認およびコピーの取得(第15条)。
- 訂正権:不正確なデータの修正(第16条)。
- 消去権(忘れられる権利):不要になったデータの削除(第17条)。
- 処理制限権:特定の状況下での処理の停止(第18条)。
- データポータビリティ権:構造化された形式でのデータ受け取りと他者への移行(第20条)。
- 異議申立権:正当な利益やダイレクトマーケティングを目的とする処理に対する拒否(第21条)。
- 自動化された意思決定を受けない権利:プロファイリング等による重大な影響を及ぼす決定の拒否(第22条)。
■ 管理者および処理者の義務(第24条~第31条)
- 管理者は、リスクに応じた適切な技術的・組織的対策を講じ、規則遵守を証明する責任を負う(第24条)。
- 製品やサービスの設計段階からデータ保護を組み込み(デザイン・バイ・デザイン)、初期設定で必要最小限のデータのみを処理する(デザイン・バイ・デフォルト)ことが求められる(第25条)。
- 域外管理者は、原則としてEU域内に代理人を指定しなければならない(第27条)。
- 処理を委託する場合、管理者は十分な保証を提供する処理者のみを選定し、書面による契約(データ処理契約:DPA)を締結しなければならない(第28条)。
- 従業員250人以上の事業者は処理活動の記録を維持する義務がある。ただし、リスクがある処理や、非定常的でない処理、特別カテゴリーデータを扱う場合は、250人未満であっても記録義務が生じる(第30条)。
■ データセキュリティと侵害通知(第32条~第34条)リスクに応じた適切なセキュリティレベル(暗号化、匿名化等)を確保しなければならない。個人データの侵害が発生した場合、管理者は不当な遅滞なく、可能であれば72時間以内に監督当局に通知しなければならない。侵害が個人の権利に高リスクを及ぼす場合は、データ主体本人にも速やかに通知する必要がある。
■ データ保護影響評価(DPIA)と保護官(DPO)の指定(第35条~第39条)新しい技術を用いた処理などで高リスクが予想される場合、事前にデータ保護影響評価(DPIA)を実施しなければならない(第35条)。公共機関、大規模な監視を行う事業者、または特別カテゴリーデータを大規模に扱う事業者は、データ保護官(DPO)を任命する義務がある(第37条)。
■ 域外移転の制限(第44条~第49条)EU域外の第三国へのデータ移転は、十分性認定がある場合、または標準契約条項(SCC)や拘束的企業ルール(BCR)などの適切な保護措置が講じられている場合に限られる。それらがない場合は、個別の同意等の例外事由が必要となる。
■ 責任と制裁(第82条、第83条)規則違反により損害を被った者は、管理者または処理者から賠償を受ける権利を有する。制裁金は、違反の内容に応じて、最大で2000万ユーロまたは全世界年間売上高の4%のいずれか高い方となる(第83条)。
■ 将来的に事業者へ影響を及ぼすと思われる内容
- 加盟国による固有の規則:雇用関連(第88条)や、学術・統計目的(第89条)におけるデータ処理について、加盟国はより具体的な国内法を定めることができる。複数の加盟国で活動する事業者は、各国固有の法規を確認する必要がある。
- 監督当局によるリスト化:DPIAが必要となる処理内容のリストは、各国の監督当局によって公表される(第35条第4項)。
注目定義
■ 「個人データ」(Personal data)
| 識別された、または識別可能な自然人(データ主体)に関するあらゆる情報を指す。氏名やID番号、位置データ、オンライン識別子のほか、身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに関する要素も含まれる。 |
■ 「処理」(Processing)
| 自動的な手段であるか否かに関わらず、個人データに対して行われるあらゆる操作を指す。具体的には、収集、記録、組織化、構造化、保存、修正、検索、参照、利用、伝達による開示、消去、破壊などが含まれる。 |
■ 「プロファイリング」(Profiling)
| 個人データを自動的に処理することで、自然人の特定の側面を評価することを指す。特に、職場でのパフォーマンス、経済状況、健康状態、個人的な嗜好、行動、位置、移動などを分析・予測することを目的とする。 |
■ 「仮名化(かめいか)」(Pseudonymisation)
| 追加情報を使用しなければ、特定のデータ主体に結びつけることができないように個人データを処理することである。この追加情報は、特定の個人に結び付けられないよう、技術的・組織的対策のもとで厳重に別途保管される必要がある。 |
■ 「管理者」(Controller)
| 単独で、または他者と共同で、個人データの処理の目的と手段を決定する自然人、法人、公的機関など。 |
■ 「処理者」(Processor)
| 管理者の代わりに個人データの処理を行う自然人、法人、公的機関など。 |
■ 「個人データ侵害」(Personal data breach)
| 伝送、保存、またはその他の処理が行われた個人データの、偶発的または不法な破壊、喪失、改変、無権限の開示、あるいはアクセスを招くセキュリティ上の侵害を指す。 |
■ 「拘束的企業ルール」(Binding corporate rules)
| 同一の企業集団または共同の経済活動に従事する企業グループ内で、EU域外の管理者または処理者へ個人データを移転する際に適用される、データ保護に関する内部ポリシー。 |
目次
第1章:一般規定
第1条:主題および目的
第2条:物的範囲
第3条:地理的範囲
第4条:定義
第2章:原則
第5条:個人データの処理に関する原則
第6条:処理の適法性
第7条:同意の条件
第8条:情報社会サービスに関連する子供の同意に適用される条件
第9条:特別なカテゴリーの個人データの処理
第10条:有罪判決および犯罪態様に関する個人データの処理
第11条:識別を必要としない処理
第3章:データ主体の権利
第1節:透明性および方式
第12条:透明性の高い情報、伝達およびデータ主体の権利行使のための方式
第2節:情報提供および個人データへのアクセス
第13条:個人データがデータ主体から収集される場合に提供されるべき情報
第14条:個人データがデータ主体から取得されていない場合に提供されるべき情報
第15条:データ主体のアクセス権
第3節:訂正および消去
第16条:訂正権
第17条:消去権(「忘れられる権利」)
第18条:処理の制限権
第19条:個人データの訂正もしくは消去または処理の制限に関する通知義務
第20条:データポータビリティ権
第4節:異議申立権および自動化された個別の意思決定
第21条:異議申立権
第22条:プロファイリングを含む自動化された個別の意思決定
第5節:制限
第23条:制限
第4章:管理者および処理者
第1節:一般的義務
第24条:管理者の責任
第25条:設計によるデータ保護および初期設定によるデータ保護
第26条:共同管理者
第27条:EU域内に設置されていない管理者または処理者の代理人
第28条:処理者
第29条:管理者または処理者の権限下での処理
第30条:処理活動の記録
第31条:監督当局への協力
第2節:個人データのセキュリティ
第32条:処理のセキュリティ
第33条:監督当局への個人データ侵害の通知
第34条:データ主体への個人データ侵害の伝達
第3節:データ保護影響評価および事前相談
第35条:データ保護影響評価
第36条:事前相談
第4節:データ保護官
第37条:データ保護官の任命
第38条:データ保護官の地位
第39条:データ保護官の任務
第5節:行動規範および認証
第40条:行動規範
第41条:承認された行動規範の監視
第42条:認証
第43条:認証機関
第5章:第三国または国際機関への個人データの移転
第44条:移転に関する一般原則
第45条:十分性認定に基づく移転
第46条:適切な保護措置を条件とする移転
第47条:拘束的企業ルール
第48条:EU法により認められていない移転または開示
第49条:特定の状況における適用除外
第50条:個人データ保護のための国際協力
第6章:独立監督当局
第1節:独立した地位
第51条:監督当局
第52条:独立性
第53条:監督当局の構成員の一般条件
第54条:監督当局の設置に関する規則
第2節:権限、任務および職権
第55条:権限
第56条:主導監督当局の権限
第57条:任務
第58条:職権
第59条:活動報告
第7章:協力および一貫性
第1節:協力
第60条:主導監督当局と他の関係監督当局との協力
第61条:相互援助
第62条:監督当局の共同作業
第2節:一貫性
第63条:一貫性メカニズム
第64条:欧州データ保護会議による意見
第65条:欧州データ保護会議による紛争解決
第66条:緊急手続
第67条:情報の交換
第3節:欧州データ保護会議
第68条:欧州データ保護会議
第69条:独立性
第70条:欧州データ保護会議の任務
第71条:報告書
第72条:手続
第73条:議長
第74条:議長の任務
第75条:事務局
第76条:守秘義務
第8章:救済、責任および罰則
第77条:監督当局への異議申立ての権利
第78条:監督当局に対する実効的な司法上の救済の権利
第79条:管理者または処理者に対する実効的な司法上の救済の権利
第80条:データ主体の代理
第81条:訴訟手続の停止
第82条:賠償を受ける権利および責任
第83条:制裁金を課すための一般的条件
第84条:罰則
第9章:特定の処理状況に関する規定
第85条:処理と表現および情報の自由
第86条:処理と公文書への公衆のアクセス
第87条:国内ID番号の処理
第88条:雇用関連における処理
第89条:公益目的のアーカイブ、科学的もしくは歴史的研究目的または統計目的の処理に関する保護措置および適用除外
第90条:守秘義務
第91条:教会および宗教団体の既存のデータ保護規則
第10章:委任および実施権限
第92条:委任の行使
第93条:委員会手続
第11章:最終規定
第94条:指令 95/46/EC の廃止
第95条:指令 2002/58/EC との関係
第96条:以前に締結された協定との関係
第97条:委員会の報告
第98条:他のデータ保護に関するEU法的行為の検討
第99条:発効および適用
附属書 I:相関表
基礎情報
| 法令(現地語) | |
| 法令(日本語) | 個人データの処理における自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679(指令95/46/ECを廃止)(一般データ保護規則) |
| 公布日 | 2016年05月04日 |
作成者
この続きは先読会員になるとお読みいただけます。
ログインして続きを読む
