GDPR（General Data Protection Regulation）とは

■GDPRとは
GDPR（General Data Protection Regulation：一般データ保護規則）とは、EU域内における個人情報の取り扱いを規定した規則で、2018年5月25日より適用されています。
もともとヨーロッパでは1995年に策定されたEUデータ保護指令（Data Protection Directive 95）という保護規定がありましたが、より厳格に個人情報を管理・保護する目的でGDPRが生まれました。背景にはデータ分析・活用が広がっており安全に個人情報を扱うことの重要度が増してきたことがあります。日本でも2017年に個人情報保護法が改正され個人情報に関するルールを明確化しています。

■保護される対象
対象となるのは、EU域内居住者のデータおよび、そのデータを収集・処理する組織です。日本国内の企業であってもEU域内居住者のデータを扱う場合は対象となります。
個人情報とされるのは、名前、住所、健康情報、所得のほか個人を識別できるIPアドレスやcookie情報、スマホの位置情報も含まれます。
日本と異なる点は「仮名化」という定義を行っていることです。似た言葉に匿名化があります。匿名化が個人を識別できないように個人情報を加工することに対して、仮名化は暗号化するなどして、そのままでは個人を識別できない状態に加工することです。日本の個人情報保護法では匿名加工については触れていますが仮名化には触れていません。

■主な規定
GDPRで規定されている内容のうち代表的なものは以下です。
（1）個人情報を取得する企業がだれなのかを明確にすること
（2）個人情報の取り扱い理由、保管期間、取得企業からどの企業に提供されるかを明確にすること
（3）個人情報の取得時に、本人から明確な同意を得ること
（4）SNS等で未成年からデータを収集する場合は、保護者による同意を得ること
（5）本人が自らの個人情報にアクセスできる手段を提供すること
（6）本人からデータの消去を要求された場合は個人情報を消去すること
（7）個人情報を利用したDM等はオプトアウトする権利を与えること
（8）EU当局の承認を得ていない国へ個人情報を移転する場合は法的手続を行うこと

■日本でGDPRが関係する企業とは
GDPRはEU域内の規定ですが、日本の企業にも影響があります。例えばEUに子会社・営業所がある企業や、EU域内の居住者に対して何らかの商品やサービスを提供する企業が該当します。国内でECサイトを運営していてEU域内のユーザーからアクセスがあったり、ユーザー登録されていたりする場合も、対象となります。