IT・ベンチャーの企業法務

ジョージアの個人情報保護法を弁護士が解説

2025.08.05

2025.12.10

ユーラシア大陸のコーカサス地方に位置するジョージアは、近年、その地理的な優位性とビジネスフレンドリーな環境から、世界のIT企業やスタートアップにとって魅力的な進出先として急速に注目を集めています。安価な電力や整備されたインターネットインフラ、そして比較的緩やかとされてきた法規制は、日本企業にとってもオフショア開発拠点や欧州市場への足掛かりとして理想的な環境に映ってきました。しかし、2024年3月1日に施行された新しい「個人情報保護法（Law of Georgia on Personal Data Protection）」は、そうした認識を根本から覆す重大な転換点となりました。この新法は、ジョージアが欧州連合（EU）への加盟を目指す国家戦略の一環として制定されたものであり、EUの「一般データ保護規則（GDPR）」の枠組みと「ほぼ同じ」厳格な基準を採用していることが最大の特徴です。

日本企業にとって最も衝撃的なのは、この新法が日本の個人情報保護法とは全く異なる次元の義務を課しているという事実です。たとえば、データ主体からの異議申し立てに対して「5日以内に処理を停止しなければならない」という極めて迅速な対応義務や、違反時の制裁金が企業の売上高に連動して算出される仕組みなどは、日本の法務実務の常識では対応しきれない厳しさを持っています。多くの日本企業は「日本の法律を守っていれば海外でも大きな問題はない」と考えがちですが、ジョージアの新法下においてその認識は致命的なリスクとなり得ます。本稿では、ジョージア進出を検討する経営者や法務担当者が直面する法的課題について、GDPR水準のコンプライアンス要件を中心に、日本法との決定的な違いを詳細に解説します。

本記事で解説する主要なポイントは以下の通りです。まず、ジョージア新法はGDPRとの完全な法制度的調和を目的としており、日本法のような「データの利活用と保護のバランス」ではなく「基本的人権の保護」を最優先している点。次に、一定規模以上のデータ処理を行う企業に対して、専門的な知識を持つデータ保護責任者（DPO）の任命や、高リスクな処理に対するデータ保護影響評価（DPIA）の実施が法的な義務となる点。さらに、データ主体の権利として、自身のデータ処理に対する異議申し立てがあった場合、管理者は5日以内に処理を停止しなければならないという厳格なルールが存在する点。そして最後に、セキュリティ侵害発生時の72時間以内の報告義務や、全世界売上高を基準とした高額な制裁金リスクについてです。これらの要点を踏まえ、日本企業が取るべき具体的な対策を解説します。

この記事の目次

ジョージア新個人情報保護法の制定背景と欧州基準への転換

ジョージアにおけるデータ保護法制の歴史は2011年に制定された旧法に遡りますが、近年のデジタル技術の飛躍的な進化と、国家としてのEU加盟に向けた政治的な動きを受け、旧法は抜本的に見直されることとなりました。2024年に施行された新法は、単なる改正にとどまらず、EUのGDPR（一般データ保護規則）と実質的に同等の水準を持つ法制度への完全な移行を意図しています。

日本の個人情報保護法が、個人の権利利益の保護と情報の有用性とのバランスを図ることを目的としているのに対し、ジョージアの新法は、プライバシー権を憲法上の「基本的人権」として位置づけ、その保護を絶対的な優先事項としています。この基本思想の違いは、実務上のあらゆる局面に影響を及ぼします。たとえば、データの定義一つをとっても、ジョージア新法では識別された、あるいは識別可能な自然人に関するあらゆる情報が対象となり、IPアドレスや位置情報、クッキーIDなども明確に保護の対象に含まれます。

また、この法律の適用範囲はジョージア国内に拠点を置く企業に限定されません。GDPRと同様に「域外適用」の規定が設けられており、日本に本社がある企業であっても、ジョージア国内にあるサーバーやネットワーク機器を利用してデータ処理を行う場合や、ジョージア国内のデータ主体に対してサービスを提供し、その行動を監視するような場合には、この法律の適用を受けることになります。つまり、日本企業が現地法人を設立せずに、現地のデータセンターを利用してビジネスを行うだけでも、この厳格な法律の規制対象となる可能性があるのです。

参考：Personal Data Protection Service of Georgia

日本企業に課されるジョージアの厳格なコンプライアンス義務

日本企業がジョージアでビジネスを展開する際、最も注意を要するのが管理体制（ガバナンス）に関する義務の厳格化です。日本の法律では「努力義務」や「推奨事項」にとどまる項目が、ジョージアでは明確な「法的義務」として課されるケースが多々あります。

まず、データ保護責任者（DPO）の任命についてです。日本の個人情報保護法では「個人情報保護管理者」の設置が求められますが、これは社内の事業部門長などが兼務することが一般的であり、特別な資格要件もありません。しかし、ジョージア新法におけるDPOは、データ保護法に関する専門的な知識を有していることが必須条件とされ、その職務遂行において完全な独立性が保証されていなければなりません。任命が義務付けられるのは、公的機関だけでなく、保険会社、銀行、医療機関、あるいはデータ主体の行動を「体系的かつ大規模に監視」する企業などが含まれます。たとえば、Eコマースサイトでユーザーの購買履歴を分析したり、アプリを通じて位置情報を追跡したりするビジネスを行う日本企業は、この「大規模な監視」に該当する可能性が高く、専門家をDPOとして任命し、監督機関である個人情報保護局（PDPS）に届け出る必要があります。

次に、データ保護影響評価（DPIA）の実施義務です。新法第31条は、データ処理が個人の権利自由に「高いリスク」をもたらす可能性がある場合、処理を開始する前にDPIAを実施することを義務付けています。これには、AIを用いたプロファイリングや自動化された意思決定、大規模な監視活動などが含まれます。日本ではプライバシー影響評価（PIA）はあくまで推奨されるプロセスですが、ジョージアではこれを怠って高リスクな処理を開始することは即座に違法行為となります。日本企業は、新規プロジェクトの企画段階で、リスクの特定と軽減策を文書化するプロセスを確実に組み込む必要があります²。

さらに、データ処理活動の内部記録（Record of Processing Activities）の作成も義務化されています。管理者および処理者は、処理の目的、データのカテゴリ、移転先、保管期間、セキュリティ対策などを詳細に記録し、監督機関の求めに応じていつでも提出できるようにしておかなければなりません。これはPDPSの調査が入った際に最初に確認される文書であり、日本のような「聞かれたら答える」というスタンスでは通用しません。

ジョージアにおけるデータ主体の権利行使と5日以内の停止義務

ジョージア新法において、日本の実務担当者が最も対応に苦慮すると予想されるのが、データ主体の権利行使に対する対応のスピード感と強制力です。特に、データ主体が自身のデータ処理に対して異議を申し立てた場合の対応は、日本法の感覚とは大きく異なります。

本法の下では、データ主体は、特定の状況において自身のデータの処理に異議を申し立てる権利、および同意を撤回する権利を有しています。そして、このような異議申し立てがあった場合、データ管理者は「5日以内」にそのデータの処理を停止する義務を負います。日本の個人情報保護法では、利用停止請求への対応期間は「遅滞なく」と規定されており、実務上は2週間から1ヶ月程度の調査期間が許容されることが一般的です。しかし、ジョージアではわずか5日という極めて短い期間内に、対象データを特定し、システム上で処理を物理的または論理的にブロックする措置を完了させなければなりません。

例えば、ジョージアの顧客から「私のデータをマーケティング分析に使わないでほしい」というメールが届いたとします。日本の本社で法務部の確認や稟議を行っている間に、5日の期限は容易に過ぎてしまいます。したがって、現地法人やデータ管理担当者には、本社への事後報告で済むような「即時の処理停止権限」を委譲しておく必要があります。また、システム的にも、特定のユーザーIDに対して即座に「処理停止フラグ」を立てられるような設計が不可欠です。

さらに、ダイレクトマーケティングに関しては、データ主体は理由を問わずいつでも停止を求めることができ、管理者は異議を受け取った後、直ちに、そして遅くとも法定の期限内にマーケティング目的での利用を停止しなければなりません。この点に関しても、違反した場合には高額な罰金が科されるリスクがあり、顧客データベースと配信システムのリアルタイムな連携が求められます。

ジョージアにおけるセキュリティインシデントへの対応と制裁

情報漏洩などのセキュリティインシデントが発生した場合の対応についても、日本とは比較にならないほどのスピードが求められます。ジョージア新法では、データ侵害が発生し、それが個人の権利自由にリスクを与える可能性がある場合、管理者は侵害を認識してから「72時間以内」に監督機関であるPDPSに通知する義務があります。

日本の個人情報保護法における「速報（おおむね3〜5日）」よりも遥かに短いこの期限は、GDPRと同じ基準です。もし金曜日の夜にインシデントが発覚した場合、月曜日の朝に本社へ報告していたのでは期限超過となってしまいます。週末や祝日であっても対応可能な緊急連絡体制を構築し、72時間以内に侵害の性質、影響範囲、講じられた対策などを詳細に報告できる準備を整えておく必要があります。

また、違反に対するペナルティも強化されています。特に注目すべきは、企業の規模（売上高）に応じた制裁金の仕組みが導入された点です。違反の内容や企業の規模によっては、固定額の罰金だけでなく、年間売上高の一定割合に相当する金額が制裁金として科される可能性があります。大企業の場合、その金額は数万ラリ（数百万円相当）に達することもあり得ますし、何よりPDPSが持つ「データ処理の一時停止・禁止命令」という権限は、データビジネスを行う企業にとって事業の存続に関わる致命的なリスクとなります。

ジョージアにおける国際データ移転と日本への影響

ジョージアで収集したデータを日本の本社サーバーに転送したり、日本のクラウドサービスに保存したりする場合、「国際データ移転」の規制対象となります。ジョージア法では、個人データを国外に移転することは原則として禁止されており、十分なデータ保護レベルが保証されている国への移転や、適切な保護措置を講じた場合にのみ許可されます。

現在、ジョージアの個人情報保護局は、適切なデータ保護レベルにあると認める国（ホワイトリスト）を定めています。日本はEUから十分性認定を受けている国であり、ジョージアからも信頼できる移転先として扱われる可能性が高いですが、法制度が新しくなった2024年以降、最新のリストに日本が含まれているかを常に確認する必要があります。仮にホワイトリストに含まれていない場合でも、標準契約条項（SCC）に相当する契約を締結するなどの対応が求められます。

まとめ

ジョージアの新しい個人情報保護法は、同国が欧州スタンダードの法治国家へと変貌を遂げたことを示す象徴的な出来事です。日本企業にとって、ジョージアはもはや「規制が緩い国」ではなく、「高度なデータ保護体制が求められる国」へと変化しました。特に「5日ルール」に代表される迅速な権利保護への対応は、日本企業の従来の意思決定スピードやシステム運用では達成困難な課題です。

しかし、これをデジタルトランスフォーメーションとガバナンス改革の好機と捉え、世界基準のデータ保護体制を構築することは、中長期的に欧州市場全体への展開を見据えた際に大きな競争優位となります。モノリス法律事務所では、こうした複雑化する海外法規制への対応を含め、IT・ベンチャー企業のグローバル展開における法的リスクマネジメントを全面的にサポートいたします。