GDPR是什麼?與個人資料保護法的比較以及日本企業應注意的要點解說

在進行歐盟(EU)域內的事業展開時，必須全面了解GDPR（一般資料保護規則）。即使是在歐盟域內沒有設立據點的日本企業，GDPR也可能適用。獲取GDPR與日本《個人資訊保護法》的基礎知識，並進行適當的資料管理。

本文將解釋GDPR，並與日本《個人資訊保護法》進行比較，說明日本企業需要注意的要點。如果您是正在考慮是否需要修改與資料保護相關的規定，或是想要了解在進軍EU時應該採取哪些法律對策的法務負責人，請務必參考本文。

GDPR（歐盟一般資料保護規則）是什麼

「GDPR（General Data Protection Regulation）」，在日本稱為「一般資料保護規則」，是歐洲聯盟（EU）制定的個人資料處理（個人資訊保護）相關規範。

該規則為歐盟域內個人資料的處理設定了嚴格的標準，旨在加強個人隱私的保護。

從個人資訊保護的角度出發，為企業和組織提供了應如何處理資料的指導原則，並為個人提供了如何保護自己資訊的標準。

參考資料：個人資訊保護委員會｜「一般資料保護規則（GDPR）暫定日文譯本[ja]」

GDPR的基本原則如下：

• 合法性、公正性及透明性
• 目的限定
• 資料最小化
• 準確性
• 儲存限制
• 完整性與機密性

接下來將對基本原則的每一項進行說明。

合法性、公正性、透明性

作為GDPR的基本原則，首先要提到的就是合法性、公正性和透明性。

當事業者收集和處理個人資料時，必須以合法的正當根據為前提，並且需要清楚地告知當事人該處理將如何進行。

此外，事業者必須明確提供有關隱私的資訊，確保當事人能夠理解並控制其資料的處理方式，從而保持透明性。

利用目的的限制

利用目的的限制意味著，數據的收集和處理應該僅限於特定的、明確的目的。

獲取個人數據的事業者必須準確且具體地向當事人說明其目的，並獲得明確的同意。此外，事業者有責任限制僅將收集到的數據用於獲得數據主體同意的目的，並且必須嚴格管理這些數據。

個人資料的最小化

收集個人資料應限於達成目的所必需的範圍（最小化）。本所只在符合要求目的的範圍內收集個人資料，避免收集不必要的個人信息。

這樣做可以將保留的個人資料量控制在最小限度，從而保護個人隱私。

準確性

作為歐盟通用資料保護規範（Japanese GDPR）的基本原則之一，個人資料必須是準確無誤的。不準確的個人資料應當被修正，並應採取措施以維持資訊的最新和準確性。

這樣可以保障個人的權利與利益，並確保基於準確資訊進行個人資料的處理。

記錄保存的限制

歐盟通用資料保護規則（General Data Protection Regulation，GDPR）的基本原則中包含了記錄保存的限制這一概念。一旦個人資料的保存目的已經達成且變得不必要，應當立即進行刪除。

通過不保存不必要的個人資料，本所能夠實現個人資料的適當管理與隱私保護。

完整性與機密性

個人資料必須是完整無缺的，並且要妥善保守其機密性。應採取適當措施，保護個人資料不受篡改和損失，並防止未經授權的存取。

這樣一來，可以提升個人資料的可靠性。

不僅僅是歐盟境內的企業？GDPR的適用範圍

歐盟一般資料保護規則（GDPR）的適用範圍並不僅限於歐盟境內的企業。日本企業也可能成為適用對象。以下將說明適用於GDPR的企業類型共有四種。

適用GDPR的企業需確保資料的合法與透明處理、安全性的保障，以及遵守GDPR的標準。

相關文章：GDPR域外適用的情況是？解說對應方法[ja]

GDPR中對個人資料的處理

GDPR為個人資料的處理提供了隱私保護和數據流通的框架。

GDPR在保護個人資料的控制和尊重的同時，促進數據流通，並通過適當的管理確保信賴性。

為此，數據處理的透明性和企業的責任感至關重要，企業必須根據規則適當處理數據。

GDPR還包含以下條款：

另外，即使沒有本人的同意，也有一些情況下允許處理個人資料。具體例子如下：

• 為了履行本人成為合約當事人的合約所必需的情況
• 為了在與本人簽訂合約前，應本人要求採取必要手段的情況
• 為了管理者遵守法律義務所必需的情況
• 為了保護本人或他人生命的利益所必需的情況
• 為了公共利益或執行公共職務所必需的情況
• 為了管理者或第三方的合法利益所必需的情況（需要與本人的權利、利益、自由進行比較衡量）

GDPR中關於個人資料的主要權利

在GDPR中，個人資料的主體主要被賦予以下權利：

• 存取個人資料的權利
• 要求更正或刪除個人資料的權利
• 要求限制使用個人資料的權利
• 對個人資料的處理提出異議的權利

個人資料的主體有權了解其資訊被提供者如何使用。若感覺到資訊不準確或被不當使用，可以要求進行更正或刪除，也可以要求暫時停止使用，或提出異議。

GDPR下關於個人資料的主要責任

雖然個人資料主體被授予上述權利，但收集與處理個人資料的企業主要承擔以下責任：

• 建立符合GDPR的個人資料處理系統與人力架構的責任
• 記錄個人資料處理活動的責任
• 在個人資料遭侵害時採取應對措施的責任

為了確保個人資料得到適當保護，企業所承擔的這些責任至關重要。

此外，所有的資料處理活動都必須適當記錄，這對於必要時進行審查也是不可或缺的。

一旦發生個人資料侵害，企業有責任採取適當措施並通知相關人員。

違反GDPR的後果

若管理者或處理者違反了GDPR，並因此對資料主體造成損害，則可能會面臨損害賠償的請求（GDPR第82條第1項）。

此外，違反GDPR可能會導致嚴重的後果。例如，根據GDPR第83條的規定，對於違反行為，歐盟可能會處以罰款（GDPR第83條）。

GDPR與個人資訊保護法的差異

GDPR與個人資訊保護法的主要差異包括：

• 保護對象
• 個人資料遭侵害時的應對
• 代理人的設定
• 違反規定時的處罰

以下將進行詳細解說。

保護對象

GDPR與個人資訊保護法在保護對象的資料上有所不同。GDPR廣泛保護在歐盟境內處理的個人資料。不僅包括在歐盟境內設有據點的企業，也涵蓋向歐盟境內個人提供商品或服務的企業。

相對地，個人資訊保護法的保護對象則依國家或地區而有所差異。

例如，日本的個人資訊保護法主要針對國內處理的個人資訊，保護範圍基本上限定在國內。

個人資料遭侵害時的應對

GDPR與個人資訊保護法在個人資料遭侵害時的應對措施上存在差異。

在GDPR下，若發生資料侵害，企業必須在72小時內向監督機關報告。同時，也有責任迅速且明確地通知資料主體。

在個人資訊保護法下，資料侵害發生時亦需盡快通知，但報告義務的期限和通知內容則依國家或地區的法規而有所不同。

代理人的設定

GDPR與個人資訊保護法在代理人設定的規則上也有所不同。

GDPR要求在處理兒童的個人資料時，必須獲得父母或法定代理人的同意。此外，提供線上服務並處理16歲以下兒童個人資料的企業，也需要獲得父母的同意。

個人資訊保護法同樣要求在處理兒童個人資訊時必須有法定代理人的同意，但具體的年齡限制和同意取得方式則依照各自的法律規定而有所差異。

違反規定時的處罰

GDPR與個人資訊保護法在違反規定時的處罰上也有所不同。

在GDPR下，違反行為可能會被處以企業全年營業額4%或2000萬歐元的罰款，視哪個金額較高而定。

個人資訊保護法的處罰則依國家或地區而異，通常包括罰金或法律責任。罰金的金額會根據違反的性質和嚴重程度而有所變動。

針對GDPR，日本企業應採取的對策要點

以下情況的企業需要採取GDPR的對策：

• 在歐盟境內擁有子公司、分支機構或營業處的企業
• 從日本向歐盟境內提供商品或服務的企業
• 接受歐盟境內企業等委託處理個人數據的企業

作為企業具體措施的例子，GDPR第32條以及前言（83）推薦使用加密技術作為數據保護的一種手段。

因此，需要對客戶端電腦、硬碟驅動器、USB記憶體等記錄媒體，以及共享文件夾等儲存個人數據的地方進行加密。

除此之外，還需要將隱私政策更新為符合GDPR的內容。關於符合GDPR的隱私政策，本所在下面的文章中進行了詳細解說。

相關文章：解說創建符合GDPR的隱私政策時的要點[ja]

總結：應諮詢專家進行GDPR對策

GDPR（一般資料保護規則）旨在廣泛保護在歐盟（EU）境內處理的個人資料，要求資料的合法與透明處理以及安全性的確保。GDPR與日本《個人資訊保護法》的差異包括保護對象、個人資料侵害時的應對、代理人的設定以及違反時的罰則等方面。

主要適用GDPR的對象包括在歐盟境內設有據點的企業、向歐盟境內個人提供商品或服務的企業、以及接受歐盟境內企業等委託處理個人資料的企業等。違反GDPR可能會導致損害賠償請求或被處以罰款，因此必須格外小心。

關於貴公司的資料保護規則是否需要變更以符合GDPR，建議您諮詢專業人士。

本所提供的對策介紹

Monolith法律事務所是一家在IT領域，特別是互聯網和法律方面擁有豐富經驗的法律事務所。近年來，隨著全球商業的不斷擴大，專業的法律審查需求也日益增加。本所事務所提供國際法務相關的解決方案。

Monolith法律事務所的業務範圍：國際法務・海外事業[ja]