GDPR（EU一般データ保護規則）とは｜ITパスポート試験対策

GDPRとは

GDPR（General Data Protection Regulation、EU一般データ保護規則）は、2018年5月から適用が開始されたEU域内の個人データ保護を統一的に規律する規則です。違反時の制裁金が極めて高額であり、最大で年間売上高の4%が科せられる点が特徴です。

適用範囲

GDPRの適用範囲は広く、EU域内に拠点を持つ企業は規模を問わず対象となります。EU域外の企業であっても、EU居住者に対してサービスを提供している場合は対象となり、日本企業の多くも該当します。例えば、日本のECサイトがEUからの注文を受け付ける場合にはGDPRへの準拠が必要です。

7 つの原則

GDPRでは7つの原則が定められています。適法性・公正性・透明性、目的の限定、データの最小化、正確性、保管の制限、完全性および機密性、そして説明責任です。これらの原則はすべての個人データ取扱いの基礎となります。

主な権利

データ主体には、自分のデータへアクセスする権利（アクセス権）が認められています。不正確なデータがあれば訂正を求める訂正権、データの消去を要求する削除権（忘れられる権利）も重要な権利です。さらに、自分のデータを別のサービスに移行できるデータポータビリティ権や、プロファイリングなどに反対する異議権も存在します。

制裁金

GDPR違反時の制裁金は非常に高額です。最大で年間売上高の4%または2,000万ユーロのいずれか高い方が科せられます。軽微な違反であっても2%または1,000万ユーロの制裁金が発生します。GoogleやMetaに対して数億ユーロの制裁金が課された事例があります。

日本の個人情報保護法との違い

日本の個人情報保護法と比較すると、GDPRの罰金額は桁違いに大きい点が最大の違いです。日本法にはない「忘れられる権利」や「データポータビリティ権」がGDPRでは認められています。また、EU域外への個人データ移転には厳しい制限があり、十分性認定の取得が必要です（日本は2019年に取得済みです）。

ITパスポート試験での出題ポイント

ITパスポート試験では、GDPRの適用範囲がEU居住者を対象としている点、制裁金の額が年商4%である点、主要な権利の中でも特に忘れられる権利が頻出です。

過去問の典型パターン

• 「GDPR の特徴として正しいものはどれか」型
• 「日本企業が GDPR の対象になるのはどのような場合か」型

関連用語

• 個人情報保護法（個人情報保護法の基礎）
• 暗号化（暗号化の基礎）

学習のコツ

学習のコツとして、まず「EU居住者にサービス提供する日本企業も対象」という考え方を理解しましょう。制裁金の「年商4%または2000万ユーロ」という数字は確実に暗記してください。日本法との2大差異である忘れられる権利とデータポータビリティ権も押さえるべきポイントです。

まとめ

GDPR関連の問題は、適用範囲、制裁金、主要な権利の3点を押さえれば得点可能です。ストラテジ系を網羅的に演習したい方はストラテジ系まとめをご覧ください。本番形式の練習には模擬試験が役立ちます。