GDPR是什么?解析与《日本个人信息保护法》的比较以及日本企业应注意的要点

在向欧盟(EU)地区拓展业务时，必须全面了解《欧盟通用数据保护条例》（GDPR）。即使是没有在欧盟地区设立基地的日本企业，也可能适用GDPR。掌握GDPR和《日本个人信息保护法》的基础知识，进行恰当的数据管理至关重要。

本文将介绍GDPR，并与《日本个人信息保护法》进行比较，阐述日本企业需要注意的要点。如果您是负责法务的专业人士，正在考虑是否需要修改与数据保护相关的规定，或者想要了解在向EU拓展业务时应遵循的法律，请务必参考本文。

GDPR（欧盟通用数据保护条例）是什么

所谓“GDPR（General Data Protection Regulation）”，在日本被称为“一般数据保护条例”，是欧洲联盟（EU）制定的关于个人数据处理（个人信息保护）的规则。

该规则为欧盟境内的个人数据处理设定了严格的标准，旨在加强个人隐私保护。

从个人信息保护的角度出发，为企业和组织提供了如何处理数据的指导，同时也为个人提供了如何保护自己信息的标准。

参考资料：个人信息保护委员会｜「一般数据保护条例（GDPR）日文版草案[ja]」

GDPR的基本原则如下：

• 合法性、公正性和透明性
• 目的限定
• 数据最小化
• 准确性
• 存档保存的限制
• 完整性和机密性

接下来，我们将对每一个基本原则进行详细说明。

合法性、公正性、透明性

作为GDPR的基本原则，首先要提到的是合法性、公正性和透明性。

当企业收集和处理个人数据时，必须基于合法的正当理由，并且需要以易于理解的方式向当事人明确传达这些处理活动是如何进行的。

此外，企业必须明确提供有关隐私的信息，确保当事人理解其数据将如何被处理，并能够控制，因此保持透明性是非常重要的。

使用目的的限制

使用目的的限制意味着数据的收集和处理应当仅限于特定的、明确的目的。

获取个人数据的企业必须向当事人准确且具体地说明其目的，并获得明确的同意。此外，企业在收集数据后，必须限制使用数据于获得数据主体同意的目的之外，并严格管理这些数据。

个人数据最小化原则

收集个人数据应当限定在实现特定目的所必需的范围内（即最小化）。我们只会在符合所要求目的的范围内收集个人数据，并避免收集不必要的个人信息。

这样做可以将保留的个人数据量控制在最小限度，并保护个人隐私。

准确性

作为GDPR（通用数据保护条例）的基本原则之一，个人数据必须是准确的。不准确的个人数据应当被修正，并且应当采取措施保持信息的最新和准确。

这样做可以保护个人的权利和利益，并确保基于准确信息处理个人数据。

记录保存的限制

GDPR（通用数据保护条例）的基本原则中包含了记录保存的限制这一概念。一旦目的达成，不再需要的个人数据应当被迅速删除。

通过不保留不再需要的个人数据，我们能够实现个人数据的适当管理和隐私保护。

完整性与保密性

个人数据必须是完整且保密的。应当采取适当措施，保护个人数据不受篡改和损失，防止未经授权的访问。

这样可以提高个人数据的可靠性。

不仅仅是欧盟境内的企业？GDPR的适用范围

GDPR的适用并不限于欧盟境内的企业。日本企业也可能成为适用对象。以下将解释成为GDPR适用企业的四种情况。

GDPR适用的企业需要确保数据的合法和透明处理、安全性的保障，以及遵守GDPR的标准。

相关文章：GDPR域外适用的情况是？解析应对方法[ja]

GDPR中的个人数据处理

GDPR为个人数据的处理提供了隐私保护和数据流通的框架。

GDPR在保护个人数据的控制和尊重的同时，促进数据流通，并通过适当的管理确保信任度。

为此，数据处理的透明性和企业的责任感至关重要，企业需要根据规则适当处理数据。

GDPR还包含以下条款：

另外，即使没有本人的同意，也有一些情况下允许处理个人数据。具体例子如下：

• 为履行本人作为合同当事人的合同所必需的情况
• 为了在与本人签订合同前，应本人的要求采取措施所必需的情况
• 为了管理者遵守法律义务所必需的情况
• 为了保护本人或他人生命的利益所必需的情况
• 为了公共利益或执行公共职务所必需的情况
• 为了管理者或第三方的合法利益所必需的情况（需要与本人的权利、利益、自由进行比较衡量）

GDPR中关于个人数据的主要权利

在GDPR中，个人数据主体主要被授予以下权利：

• 访问个人数据的权利
• 要求更正或删除个人数据的权利
• 要求限制使用个人数据的权利
• 对个人数据的处理提出异议的权利

个人数据主体有权了解其信息被提供者如何使用。如果感觉信息不准确或被不当使用，可以要求进行更正或删除，也可以要求暂时停止使用，或提出异议。

GDPR中对个人数据的主要责任

虽然个人数据主体被授予了上述权利，但收集和处理个人数据的企业主要承担以下责任：

• 建立符合GDPR的个人数据处理系统和人力架构的责任
• 记录个人数据处理活动的责任
• 在个人数据被侵犯时采取相应措施的责任

为了确保个人数据得到适当保护，企业承担的这些责任至关重要。

此外，所有数据处理活动的适当记录对于必要时进行审查也是不可或缺的。

一旦发生个人数据侵权事件，企业有责任采取适当措施并通知相关方。

违反GDPR的后果

如果管理者或处理者违反了GDPR，导致数据主体遭受损害，他们可能会被要求赔偿损失（GDPR第82条第1款）。

此外，违反GDPR可能会带来严重的后果。例如，根据GDPR第83条的规定，欧盟可能会对违反行为施加罚款（GDPR第83条）。

GDPR与个人信息保护法的区别

GDPR与个人信息保护法的主要区别如下：

• 保护对象
• 个人数据被侵犯时的应对
• 代理人的设定
• 违反规定时的处罚

下面将详细解释。

保护对象

GDPR与个人信息保护法在保护的对象上有所不同。GDPR广泛保护在欧盟境内处理的个人数据。不仅针对在欧盟境内设有基地的企业，也包括向欧盟境内个人提供商品或服务的企业。

而个人信息保护法的保护对象则因国家或地区而异。

例如，日本的个人信息保护法主要针对在国内处理的个人信息，保护对象基本上限于国内。

个人数据被侵犯时的应对

GDPR与个人信息保护法在个人数据被侵犯时的应对措施上存在差异。

在GDPR下，一旦发生数据侵犯，企业有义务在72小时内向监管机构报告。同时，还有责任迅速且明确地通知数据主体。

在个人信息保护法下，数据侵犯发生时也要求尽快通知，但报告义务的期限和通知内容因国家或地区而异。

代理人的设定

GDPR与个人信息保护法在代理人设定的规则上有所不同。

在GDPR下，处理儿童个人数据时需要父母或法定代理人的同意。此外，提供在线服务的企业在处理16岁以下儿童的个人数据时，需要获得父母的同意。

个人信息保护法同样要求在处理儿童个人信息时获得法定代理人的同意，但年龄设定和同意获取方式因法律而异。

违反规定时的处罚

GDPR与个人信息保护法的一个区别是违反规定时的处罚不同。

在GDPR下，违反行为可能会导致最高企业全体年销售额的4%或2000万欧元的罚款。

个人信息保护法的处罚因国家或地区而异，通常特点是罚款或法律责任。罚款金额根据违反内容和严重性而变化。

日本企业应对GDPR的关键点

以下企业需要采取GDPR的应对措施：

• 在欧盟境内拥有子公司、分支机构或营业处的企业
• 从日本向欧盟境内提供商品或服务的企业
• 受托于欧盟境内企业等处理个人数据的企业

作为企业具体措施的例子，GDPR第32条以及前言（83）推荐使用加密技术作为一种数据保护技术。

因此，需要对客户端PC、硬盘驱动器（HDD）、USB存储设备等记录媒体，以及共享文件夹等个人数据进行加密。

除此之外，还需要将隐私政策更新为符合GDPR的内容。关于符合GDPR的隐私政策，我们在以下文章中进行了详细解释。

相关文章：解析制定符合GDPR的隐私政策时的要点[ja]

总结：咨询专家进行GDPR的对策

GDPR旨在广泛保护在欧盟境内处理的个人数据，并要求数据的合法且透明处理以及安全性的确保。GDPR与个人信息保护法的不同之处包括保护的对象、个人数据侵权时的应对措施、代理人的设定以及违规时的处罚等方面。

主要适用GDPR的对象包括在欧盟境内设有基地的企业、向欧盟境内个人提供商品或服务的企业、以及接受欧盟境内企业委托处理个人数据的企业等。违反GDPR可能会面临损害赔偿要求和罚款，因此必须格外小心。

关于是否需要修改公司的数据保护规则以符合GDPR，我们建议您咨询专业人士。

本所提供的对策介绍

Monolith法律事务所是一家在IT领域，尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来，全球商务不断扩大，专业的法律审查需求也日益增长。我们事务所提供国际法务解决方案。

Monolith法律事务所的业务范围：国际法务・海外业务[ja]