Skip to content

データ保護

データ保護の基本:データを安全・適切に活用するには

現代のデジタル経済では、大量のデータ—その多くは個人情報—が日々生成・共有され、私たちの生活をつなぎ、便利にしています。こうしたデータの安全性は極めて重要であり、漏えいが意図的であれ偶発的であれ、大きな影響を及ぼす可能性があります。
こうしたプライバシー上の脅威に対応するため、EUおよびUK GDPRやカリフォルニア州のCCPAといった法規制が世界中で整備されています。

本セクションでは、各国の主要なデータ保護原則を紹介し、実践的なコンプライアンスのヒントや、消費者の信頼と企業ブランドの保護に向けた対応策を解説します。

Auto-generated banner for Does the EU GDPR Apply to Your Business? What International Companies Need to Know
記事
EU GDPR

Does the EU GDPR Apply to Your Business? What International Companies Need to Know

The EU GDPR is one of the most comprehensive data privacy laws in the world. This article helps you understand whether the EU GDPR applies to your business and provides steps you can take to ensure compliance if it does.

Auto-generated banner for DSA Checklist: Information to be included in the Transparency Report under the Digital Services Act
記事
DSA

DSA Checklist: Information to be included in the Transparency Report under the Digital Services Act

Intermediary service providers must publish annual Transparency Reports, with requirements varying by service type to match their societal impact and risk level.

Katharina Jokic's profile pictureAndreas Maetzler's profile picture
By Katharina Jokic, Andreas Maetzler
Auto-generated banner for The EU Digital Services Act: Are you ready to meet your reporting obligations?
記事
DSA

The EU Digital Services Act: Are you ready to meet your reporting obligations?

The DSA applies to intermediary services, with obligations increasing by service type—especially for hosting, online platforms, and VLOPs/VLOSEs. This article explores the details.

Andreas Maetzler's profile pictureKatharina Jokic's profile picture
By Andreas Maetzler, Katharina Jokic
記事
スイスFADP

Ready for the new Swiss Data Protection Law? Implications for organizations outside Switzerland

The revised Swiss Federal Act on Data Protection (RevFADP), which takes effect from September 1, 2023, brings Switzerland's data protection regime in line with the GDPR and has significant implications for organizations outside Switzerland.

Andreas Maetzler's profile pictureCharlotte Mason's profile picture
By Andreas Maetzler, Charlotte Mason
ニュース
EU GDPR

⚖️ CASE LAW Update 📣 The Court of Justice of the EU (CJEU) Clarifies Right of Access to Personal Data under GDPR

CJEU has issued a judgment in Case C-487/21 clarifying the interpretation of the right of access under Article 15 of the GDPR. It clarifies the meaning of the terms "copy" and "information" in the context of personal data.

ニュース
EU GDPR

CASE LAW Update: The Court of Justice of the EU Clarifies Controller Obligations in GDPR

CJEU ruled in Case C-60/22 that violating GDPR Articles 26 or 30 doesn’t automatically give data subjects the right to erasure or restriction of processing.

記事

EU Commission adopts its adequacy decision for the EU-U.S. Data Privacy Framework

The European Commission’s recent adoption of the EU-U.S. Data Privacy Framework is a turning point in transatlantic data transfers. This blog post provides a concise yet comprehensive overview of the DPF and its practical implications.

Charlotte Mason's profile picture
By Charlotte Mason
ニュース

Exciting news for data privacy professionals and businesses! The UK-US Data Bridge is set to become law on October 12, 2023

The agreement ensures the safe transfer of personal data between the UK and the US while maintaining high standards of privacy for UK personal data.

ニュース

Balancing Innovation and Privacy: The Push for a Federal AI Data Protection Law

Recent discussions at the Senate AI Insight Forum, led by Chris Lewis of Public Knowledge, have brought to light a critical issue in the artificial intelligence industry: the need for stringent privacy regulations.

ニュース
EU GDPR

European Data Protection Board Endorses Cookie Pledge for Enhanced User Rights

The EDPB has expressed support for the European Commission's "cookie pledge" initiative. This move is a response to the European Commission's inquiry on how this voluntary initiative aligns with the GDPR and the ePrivacy Directive.

ニュース

Advancing Data Protection in India: The Digital Personal Data Protection Bill, 2023

The Rajya Sabha passed the Digital Personal Data Protection Bill, 2023, introducing stricter data rules, user rights, redress mechanisms, and a board to oversee data protection in India.

Frequently Asked Questions

よくあるご質問(FAQ)

GDPR第27条に基づくEU代理人、当社にも必要?

EU代理人の任命が必要となるのはどんな企業?

EUに拠点がない企業でも、以下のような事業活動を行っている場合、GDPR第27条によりEU代理人を任命する必要があります:

  • EU域内の個人に商品・サービスを提供している(例:EUの言語対応サイト、ユーロでの決済対応など)
  • EU域内の個人の行動を追跡している(例:Cookieなどでの行動プロファイリング)

欧州データ保護会議(EDPB)が発行したガイドライン3/2018(GDPRの域外適用に関する指針)によれば、これは管理者および処理者の両方に適用されます。EU域内に拠点を持たない処理者については、GDPRの適用がその「処理活動」の内容に依存します。もし、その処理が管理者による商品・サービス提供や行動の監視に関係している場合、処理者にもGDPRが適用され、代理人の選任が必要になります。

事例①:オンラインゲーム企業:EU域外に拠点があるオンラインゲーム企業が、無料でEU域内のユーザーにゲームを提供し、これらユーザーのジオロケーション、ブラウザ情報、履歴を分析し広告に活用している場合、EU域内の市場をターゲットに行動を監視していると見なされます。これにより、EU代理人をEU加盟国に設置する法的義務が生じます。GDPR違反は高額な罰金やEU市場からの締め出しのリスクがあります。

事例②:B2B向けCRM SaaS:EU域外でCRM SaaSを開発し、EUデータ主体を対象とする企業に提供している場合、提供先企業がEU市場を狙っており、そのソフトがデータを処理・保存しているため、これも「商品・サービス提供+行動監視」に該当します。この場合、EU代理人の設置義務が発生します。さらに、EUの取引先企業はデータ処理契約の締結とEU代理人設置を要求することも一般的であり、交渉段階でGDPR対応済みであることが信頼獲得につながります。

EU代理人の設置を免れるケースはある?

GDPR第27条によれば、管理者または処理者が以下の3つすべての条件を満たす場合に限り、EU代理人の任命義務が免除されます:

  • 個人データの処理が「臨時的」であること(断続的かつ非体系的)
  • 特定のセンシティブデータ(人種、健康情報など)や犯罪・有罪情報の大規模処理が含まれないこと
  • データ主体の権利や自由にリスクを及ぼす可能性が低いこと

これらすべてを満たすのは非常に難しく、特に「臨時的な処理」に該当するかが多くの企業にとって大きなハードルとなっています。

うちの会社って、EUの個人にサービス提供してることになる?

EU域内の顧客との商取引関係を築く意図が、実際の事業活動として現れている必要があります。単にウェブサイトがEUでアクセス可能であること、EU内の住所や電話番号(国番号なし)を記載しているだけでは、EU市場を対象としている十分な証拠とはなりません。

欧州データ保護会議(EDPB)は、GDPRの適用範囲に関するガイドライン3/2018において、EU域内への提供とみなす際に考慮される要素を示しています。たとえば:

  • EU加盟国の言語での表示、またはEU通貨による決済手段の提供
  • GoogleやFacebook広告など、EU市場向けのマーケティング活動
  • EUに関する言及や推薦文の掲載
  • 観光など国際的な性質を持つサービスの提供
  • EUからアクセスできる専用の連絡先や電話番号の記載
  • EUの国別ドメイン(例:.de、.fr)の使用
  • EU域内からの移動方法などの案内
  • EU加盟国への商品の配送

要するに、EU向けの働きかけや、EU顧客が製品にアクセスしやすい仕組みがある場合は、GDPRが適用される可能性が高いといえます。

事例①:トルコ拠点の企業が、写真アルバムの作成・編集・配送サービスを英語、フランス語、ドイツ語、オランダ語で提供し、ユーロ・ポンドでの支払いを受け付け、配送先をフランス、ドイツ、ベネルクスに限定している場合、GDPRが適用されます。

事例②:スイスの大学が国際関係のサマーコースをドイツ・オーストリアの大学に向けて積極的に宣伝している場合、EU内の個人に対するサービス提供の意図が明確であり、当該データ処理活動にはGDPRが適用されます。

EU域内の個人の行動を監視していることになる?

EU域内の個人データの収集・分析全てが自動的に「監視」に該当するわけではありませんが、監視とは「特定の目的を持ってデータを収集する意図」を意味します。そのため、プロファイリング技術の使用を含む、インターネット上でのあらゆる個人トラッキングは「監視」に該当します。EDPBのGuidelines 03/2018では、ウェアラブルやスマートデバイスを通じた監視も含まれると明確にされています。具体的には次のような監視活動が含まれます:

  • ターゲティング広告
  • マーケティング目的での位置情報取得
  • Cookieや指紋認証を使ったオンライン追跡
  • 個別の健康解析サービス
  • CCTV(防犯カメラ)
  • 個人プロファイルに基づく市場調査や行動調査
  • 定期的な健康状態のモニタリングや報告

事例①:米国に本拠を置くマーケティング会社が、フランスのショッピングセンター向けにWi‑Fiトラッキングで顧客の動線を収集・分析し、店舗レイアウトの助言を行う場合、この活動はEUデータ主体の行動監視に該当します。

事例②:カナダのアプリ開発者がEUユーザーの行動を追跡するアプリを提供しており、そのデータ処理を米国の委託業者に任せている場合、GDPR(第3条2項b)が適用されます。

GDPR違反にはどんな罰則がある?

GDPRはその「域外適用」により、EU域外に拠点を置く管理者および処理者に対しても適用されます。これにより、EU域内に代理人を任命しなかった場合、最大で1,000万ユーロ、またはグローバル年間売上高の2%のいずれか高い方の罰金が科される可能性があります。

これらの制裁は、監督当局による行政処分または個人からの訴えを通じて執行されます。さらに、EUに所在する取引先が、あなたの会社への個人データの移転を停止しなければならなくなる可能性もあります。

代理人選定のポイントとは?そしてPrighterの取り組みは?

代理人に求められる役割とは?

代理人は、EU域外のコントローラーや処理者に代わり、当局や個人(データ主体)とのやり取り(連絡窓口)を円滑に進める役割を担います。代理人の任命は、書面による正式な委任契約が必要です。また、処理記録(第30条に基づく)を保管し、監督当局からの要請があれば提示できる体制が求められます。

Prighterはどのようにして各要件に対応している?
  • 当局およびデータ主体との円滑なコミュニケーションを実現するため、欧州各地にオフィスを展開し、高度な技術ソリューションを開発。
  • 書面での正式な委任契約はオンボーディングの一環として行われ、クライアントはオンラインでエンドツーエンドのプロセスを通じて委任状に署名できます。
  • 処理記録(GDPR第30条)作成のサポートとして、あらかじめ入力されたテンプレートを提供し、丁寧な支援とガイダンスを行います。

代理人ってどの国に置けばいいの?

まず、EDPB(欧州データ保護会議)は、ガイドライン03/2018における「域外適用」の解釈で、EU加盟国のいずれか1箇所に代理人を選任すれば、他のすべての加盟国でもその代理人が対応できると明示しています。ただし、顧客の多くが特定の加盟国に集中している場合は、その国に代理人を置くことが理想的とされています。いずれにせよ、代理人はどの加盟国のデータ主体にとっても容易にアクセス可能である必要があります。

Prighterの対応方針

  • Prighterは、主要なEU加盟国すべてに自社またはパートナーオフィスを有しており、その地域のデータ主体にとって利便性の高いローカル代理人を提供します。
  • さらに、単なる郵便箱ではなく、現地にて実務に精通したプライバシー専門家が常駐しており、信頼性の高い対応が可能です。

EUGDPRの代理人として、Prighterはどんなサポートをしてくれるの?

Prighter の目指すところは、法務の専門知識と技術ソリューションの融合によって、非EU企業がGDPRを確実に順守できるよう支援することです。当社は法律事務所として、主要銀行や金融機関、テック企業のデータ保護責任者を務めた経験から得た実務的な洞察を、DSRやデータ侵害対応、処理記録管理などのツール開発に反映させています。プライバシー関連のすべてを支援するだけでなく、効率的かつ専門的な対応によって、顧客からの信頼向上を通じてビジネスの成長につながるようサポートします。

PrighterをGDPR代理人にするとどんなメリットがあるの?

PrighterはGDPR第27条に定められたEU代理人業務を中心に、コンプライアンスの取り組みを「成果」として活かすためのツールやサービスを用意しています。詳細は「GDPR代理人サービス」ページをご覧ください。

  • GDPR代理人:

PrighterのEU GDPR代理人プログラムに加入いただくと、貴社の正式な代理人として、EU内のデータ主体や監督当局からの要求に対して、当社の法務・プライバシー専門チームが最前線で対応します。

  • 信頼の獲得:

ブランドに合わせてカスタマイズ可能な「コンプライアンスページ」をご提供。プライバシーポリシーやCookieポリシー、認証情報を掲載でき、外部への透明性と信頼性を高める場として機能します。このページからデータ主体からの要求も受け付け、弊社の専用ツールでスムーズに対応可能です。

  • GDPRプライバシーツール:

データ主体からの要求(DSR)を効率的に処理するための専門ツールを提供。リスクを最小限に抑え、時間・コスト・社内リソースの削減につながります。また、監督当局からの標準的な要求(例:処理記録の提出)にも対応。データ侵害時には、迅速な対応を可能にするツールとサポートも完備しています。

個人(データ主体)や当局からの要求にどう対応してくれるの?

ここが当社の強みです。独自開発したDSR(データ主体要求)管理ツールにより、クライアントや当局から届くすべてのプライバシー関連の要求を集約、構造化、フィルタリングします。
AI技術を活用し、数百万人規模の要求でも一つのツールで対応可能です。データ主体とのコミュニケーションなど、DSR対応のすべての正式プロセスをサポートします。実際にデータベース上で「データ主体の削除」などの処理を行うかどうかは、最終的には貴社のご判断となります。DSRツールは、要求のライフサイクル全体において形式的対応を正しく行うための支援として、アドバイスのフレームワークを提供します。詳しくはこちらをご覧ください。

データ保護責任者(DPO)とEU代理人の違いは?

DPOと代理人、それぞれはいつ必要?

データ保護責任者(DPO)の任命が義務付けられるのは、以下のいずれかに該当する場合です:

  • 公的機関または公的組織によって個人データの処理が行われる場合(ただし、裁判所が司法権を行使する場合は除く)
  • 企業の主要な業務が、本質・範囲・目的のいずれかにおいて、大規模かつ定期的・体系的にデータ主体を監視する処理で構成されている場合
  • 企業の主要な業務が、GDPR第9条に基づく特別カテゴリの個人データや、第10条に基づく犯罪歴などに関するデータを大規模に処理することに関係している場合

これらの基準の解釈については、「Art. 29 Working Party on Data Protection Officers」によるDPOに関するガイドラインに詳述されています。

DPOの任命要件と比較すると、GDPR代理人(Art. 27)の任命は、EU内の個人に対して商品やサービスを提供する場合や、その行動を監視する場合に必要とされます。

つまり、DPOの要件は「高リスクな処理」に関するものであり、GDPR代理人の要件は「EU域内に対して可視的なデータ処理活動」がある場合に発生します。

DPO と EU GDPR 代理人は、どのように役割や立場が異なるのでしょうか?

DPO(データ保護責任者):企業内の個人データ保護に関するすべての問題に関与し、GDPR遵守状況の監視、データ保護影響評価(DPIA)への支援、管理層へのプライバシーバイデザイン・バイデフォルトに関する助言などを行います。そのために、日常的な業務に近く、本社もしくは主要拠点の近くに配置されるのが望ましいです。

EU GDPR代理人:EU内に設立拠点がない企業に代わって、EU拠点に準じた役割を担いますが、実際には距離を置いて活動します。支店や子会社の代替として、EU当局やデータ主体からの連絡窓口となります。

DPOがEU GDPR代理人を兼任することは可能ですか?

いいえ、DPOと代理人の役割には利害の衝突が生じるため、兼任はできません。EDPB(欧州データ保護会議)は、ガイドライン03/2018(GDPRの域外適用に関する指針)において、法執行手続に関する義務や利害の対立が発生し得るとして、DPOと代理人の兼務を認めていません。特に、両者の責任範囲や義務における整合性の確保という点で、役割の両立は困難とされています。

Prighterを当社のEU GDPR代理人として任命するには?

PrighterをEU GDPR代理人に任命する手続きとは?

登録はとても簡単。数分で完了できます:

  1. まずは無料でお試し
     最初の14日間は完全無料でお使いいただけますので、リスクなしで始められます。
  2. 御社に合ったプランを選ぶ
     従業員数(パートタイムや業務委託を含む)に基づいて、最適なプランをご提案します。
  3. 会社情報を入力
     簡単なフォームに沿って御社の基本情報をご入力ください。
  4. 委任状のダウンロードと提出
     Prighterが正式な代理人であることを示すため、委任状にご署名いただき、アップロードをお願いします。
  5. 内容の確認・承認
     弊社が内容を確認し、通常数時間以内に承認いたします。
  6. 代理人任命が完了
     承認が完了次第、正式にPrighterがEU代理人となり、専用ポータルがご利用可能になります。
  7. トライアル開始
     これで14日間の無料トライアルがスタートします。

Prighterの代理人任命について、監督当局への通知は必要ですか?

DPO(データ保護責任者)の任命とは異なり、代理人の任命については監督当局への通知は必要ありません。監督当局が企業に関する照会を行う場合、企業のプライバシーポリシーから必要な情報を取得します。

ただし、NIS代理人としてPrighterを任命した場合には、該当する監督当局にその旨を通知する必要がありますので、ご注意ください。

グループ会社として利用を検討しています。グループ向けの対応はありますか?

GDPR第27条に基づき、それぞれの法人には個別の代理人任命が必要です。ただし、Prighterでは、グループ企業の代理人業務を一括で管理できる「グループパッケージ」をご用意しています。親アカウントで各子会社のサブアカウントを管理する形で、まとめてご利用いただけます。
このパッケージをご利用いただくには、グループ内でデータ保護管理の責任部門を1つ選定し、親アカウントとサブアカウントを一括で管理していただきます。
対象となる子会社の数は、契約するパッケージによって異なります。

  • 「スモールエンタープライズ」パッケージ:2社まで
  • 「ミディアムエンタープライズ」パッケージ:5社まで
  • 「ラージエンタープライズ」パッケージ:無制限

なお、対象となるグループ企業は、同じ業種に属し、同じ製品または関連ブランドを展開している必要があります。

料金と支払い方法について教えてください。

料金は、Eurostat(欧州統計局)の基準に基づく貴社の規模と、カバー対象の法人の数によって決まります。料金は月額10,000円からとなっており、すべてのプランに14日間の無料トライアルが付いていますので、契約前にサービスを十分にご確認いただけます。

当社の料金体系は透明性が高く、データ主体からの要求ごとに追加料金が発生することはありません。お支払いは月払い、四半期払い、年払いから選択でき、年払いは最もお得な割引が適用されます(四半期払いでも割引あり)。

お支払い方法はクレジットカードまたは銀行振込からお選びいただけます。クレジットカードはほぼすべてのブランドに対応しており、銀行振込はEUR、USD、GBPに対応(年払いのみ)しています。ご不明な点がございましたら、お気軽にサポートチームまでお問い合わせください。