GDPRの適用範囲(域外適用)
GDPRは、本社がEUの外に設置されていても次の場合には適用されることになっており、多くの日本企業がGDPRの適用対象になることが考えられます。

図表4 域外適用のケース(例) ※4 特に個人の意思決定を収集するため、もしくは個人の嗜好、行動および態度を分析または予測するためにインターネット上で自然人を追跡し、プロファイリングすること
制裁金
GDPRでは、要件に違反した場合、高額な制裁金が科されることも規定されています。制裁金の上限額は違反の内容に応じて、次の2種類とされています。
- 企業の全世界年間売上高の2%以下または1000万ユーロ以下のいずれか高い方
- 企業の全世界年間売上高の4%以下または2000万ユーロ以下のいずれか高い方
なお、制裁金の金額については、問題となった処理の状況や、データ主体の損害を軽減するために事業者が行った対応、監督機関に対する事業者の協力の程度などによって定まるとされています。
GDPRの執行体制
各加盟国は、GDPRの運用を監視するための組織(監督機関)を1つ以上設置します。
これら監督機関は、事業者に対して調査権限や是正権限といった強い権限を持っており、立ち入り調査を実施したり、違反に対する制裁金を科したりすることができます。なお、データ保護指令のもとで設置された第29条作業部会は、GDPRにおいては「欧州データ保護会議(European Data Protection Board)」に改組されることになっており、引き続きGDPRに関する解釈や見解などが提示されることが見込まれます。
第1回では、GDPRの概要として、GDPR制定の背景や該当する個人データ、要件の全体像、適用範囲、執行体制などをご紹介しました。第2回目以降は、影響が大きいと考えられる要件に焦点を当てて説明いたします。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 大場 敏行
- 国内大手製造業をはじめ、様々な業界、業種のクライアントに対して、個人情報保護、情報セキュリティに関するコンサルティング業務に従事。マイナンバー法導入にあたり、地方自治体向けに特定個人情報保護評価支援を提供。公認情報システム監査人(CISA)、 情報セキュリティスペシャリスト。
