この記事は特に記述がない限り、欧州連合の法令について解説しています。また最新の法令改正を反映していない場合があります。ご自身が現実に遭遇した事件については法律関連の専門家にご相談ください。免責事項もお読みください。

規則 (EU) 2016/679欧州連合規則
名称個人データの処理にかかる自然人の保護および当該データの自由な移動に関する、並びに指令95/46/ECを廃止する規則
制定者欧州議会および欧州理事会
EU官報 ⇒L119, 4/5/2016, p. 1?88
歴史
制定日2016年4月27日
各国導入期限2018年5月25日
立法審議文書
欧州委員会提案COM/2012/010 final - 2012/0010 (COD)
関連法令
改廃対象EUデータ保護指令（英語版）
現行法

EU一般データ保護規則（EUいっぱんデータほごきそく、英: General Data Protection Regulation; GDPR）（規則 2016/679）は、欧州議会・欧州理事会および欧州委員会が欧州連合 (EU) 内のすべての個人のためにデータ保護を強化し統合することを意図している規則である。欧州連合域外への個人データの移転も対象とする。

EU一般データ保護規則の目的は、個人データの処理にかかる個人の権利と自由を保護すること、および欧州連合域内の規則を統合することによって、国際的なビジネスのための規制環境を簡潔にすることである[1]。EU一般データ保護規則の発効によって、1995年以来のデータ保護指令（正式には Directive 95/46/EC）[2] は置き換えられた。この規則は2016年4月27日に採択され、2年間の移行期間の後、2018年5月25日から適用された。

1995年のデータ保護指令が欧州連合各国のデータ保護規則の断片化を招いたため（備考 (Recital) 9）、同指令とは異なり、この規則に関して欧州連合各国政府は特別に法規制を採択する必要がない[3]。ただし、EU各国が特定のデータ処理について、より限定的な国内法を制定することを妨げるものではない（備考 (Recital) 10）。
内容

EU一般データ保護規則法は、主要な要求として以下の各項目を含んでいる[4]。
適用範囲

本規則は、データ管理者（EU居住者からデータを収集する組織）または処理者（データ管理者の代理としてデータを処理する組織）またはデータ主体（個人）がEU域内に拠点をおく場合に適用される。さらに本規則は、EU居住者の個人データを収集または処理する場合は、EU域外に拠点をおく組織にも適用される。欧州委員会によれば、「個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、コンピュータのIPアドレスまで、あらゆるものを含む」[5]。

本規則は国家安全保障の活動、または、法の執行のための個人データ処理には適用されない。しかし、データ保護規則の改革パッケージは、警察および刑事司法分野に対しては、個別のデータ保護指令を含んでいる。この個別のデータ保護指令は、国内、欧州および国際的な個人データの交換に対する包括的な規則を提供している。

組織の規模に関しては、零細・中小企業等、規模を問わず本規則の対象となる。ただし個人データ処理に関する様々な義務のうち、処理記録を保管する義務についてのみ、被雇用者250名未満の組織については免除される（第30条5項）。

なおこの処理記録の保管 (records of processing activities) につき、処理過程の処理ログ等を全件記録する必要があるという理解はGDPR 第30条英語版の「records」に起因する誤読であり、フランス語版では「journal（ログ）」ではなく「registre（帳簿） des activites de traitement」、つまり台帳として各種処理活動を一覧化することである。

本規則の対象となるデータ処理は大別して二種類、商品またはサービスの提供に関する処理（第4条2項(a)、備考 (Recital) 23）、データ主体の行動のモニタリングに関する処理（第4条2項(b)、備考 (Recital) 24）がある。

まず、商品またはサービスの提供に関する処理について、本規則の対象となる個人データ処理とは、支払いの発生の有無にかかわらず、EU域内の自然人に対する商品またはサービスの提供に関する処理活動である。単に、EU域内のデータ管理者、データ処理者、または仲介となるウェブサイトにアクセスできるだけの場合、または、メールアドレス、その他連絡先詳細情報にアクセスできるだけの場合、または、データ管理者が第三国に存在する場合で、その第三国で一般的に使用される言語が使用されている場合などについては、個人データ処理の意図があることを十分に確認できない。本規則の対象となる個人データ処理であることを明確にするには、EU域内の国で一般的に使用される言語または通貨を使用していること（商品やサービスの注文がその他の言語で行われる可能性がある場合も含む）、または、EU域内の顧客またはユーザに言及していることなどの要素が採用されうる（備考 (Recital) 23）。

次に、データ主体の行動のモニタリングに関する処理について、本規則の対象となる個人データ処理とは、その行動がEU域内で発生する限りにおいてである。データ処理活動がデータ主体の行動のモニタリングとみなされるためには、個人をインターネット上で追跡した後、その個人データをデータ主体についての意思決定をするため、または、個人の嗜好、行動、態度の分析や予測をするために、その個人データに対してプロファイリングを行う処理技術を利用することが含まれる（備考 (Recital) 24）。

本規則の対象にEU域内の被雇用者の個人データ処理が含まれている理由は（備考 (Recital) 155、第88条）、後者の行動モニタリングに関する処理についての定めがあるためである。つまり、前者のEU域内の自然人に対する商品またはサービスの提供を行っていない組織であっても、EU域内に従業員が存在し、その人事評価等を第三国で行っている場合には、人事管理等の個人データ処理について本規則の適用を受ける[6]。
単一の規則群と監督機関

単一の規則群は全EU加盟国に適用される。各加盟国は、申し立てに対する調査、違反者の処罰等を行う独立した監督機関を設置する。EU加盟各国の同監督機関は、他国の監督機関と協力することで、相互支援および共同施行を行う。事業者がEU域内に複数の拠点を持つ場合、"主要拠点"（つまり、主要な処理業務が行われる拠点）の場所にもとづいて、一つの監督機関を"主要監督局"とする。主要監督局はワンストップショップとして活動し、事業者のEU域内にわたる全ての処理業務を監督する（第46-55条）。

欧州データ保護会議（英語版） (European Data Protection Board、略称: EDPB) が各加盟国の独立した監督機関の調整を行い、欧州連合全体において一貫したデータ保護規則の適用を維持、推進する。この欧州データ保護会議 (EDPB) の設置により、旧データ保護指令の第29条に規定されている作業部会が廃止となる。[7]

雇用の文脈で処理されるデータ、および、国家安全保障のために処理されるデータについては例外があるが、依然として各国の規制の対象となる（第2条(2)(a)、第82条）。
責務と説明責任

通知は従来通り必要で、その範囲が拡大されている。通知には、個人データの保持期間、および、データ管理者とデータ保護最高責任者の連絡先情報を含まなければならない。

個人に関する自動化された意思決定は、プロファイリング（第22条）を含め、係争の対象となりうる。市民は今回の規則によって、純粋なアルゴリズムによる意思決定に対しても疑義を唱え、争う権利を持つようになる。

GDPRの遵守を示せるようにするため、データ管理者は設計段階および初期状態で、データ保護の原則を満たす施策を実装しなければならない。設計および初期状態によるプライバシーの条項（第25条）は、製品およびサービスの業務プロセス開発に、設計段階でデータ保護施策を組み込むよう要求している。そのような施策には、データ管理者が個人データを可能な限り速やかに仮名化する施策が含まれている。（GDPR 備考 (Recital) 78）

データ管理者の責任と義務は、データ処理業者がデータ管理者の代理でデータ処理を行う場合であっても、実効性のある施策を実装し、データ処理業務が規則を遵守していることを示せるようにすることである。（GDPR 備考 (Recital) 74）

データ主体の権利および自由に対して、特定のリスクが発生する場合は、データ保護影響評価（第35条）を実施しなければならない。リスク評価およびリスク低減を実施する必要があり、高いリスクについてはデータ保護当局 (DPA) の事前承認が必要となる。データ保護最高責任者（第37?39条）が、組織内部の規則遵守を確保する。

データ保護最高責任者は以下の場合に指名しなければならない[8]。

全ての公的機関、ただし司法能力にもとづいて活動する裁判所を除く。

データ管理者、または、データ処理者の主な活動が以下の活動からなる場合

データ処理の業務が、その性質、範囲、目的にかんがみて、データ主体の規則に基づきかつ体系的で、大規模な監視を要求する場合

第9条に準じる特定の種類のデータを大規模に処理する場合、および、犯罪歴および第10条に規定する犯罪に関する個人データを処理する場合


同意

データの収集および利用目的（第7条、第4条の規定）について、有効な同意が明示的に行われなければならない。児童に対する同意は児童の親、または、保護者が与え、確認しなければならない。データ管理者は同意（オプトイン）を証明できる必要があり、その同意は取り消されうる[9]。
データ保護最高責任者

裁判所、または、独立した司法当局が司法能力にもとづいて活動する場合を除き、公的機関がデータ処理を行う場合、または、民間部門において、データ主体の規則に基づきかつ体系的な監視を必要とするデータ処理業務を主要な活動とするデータ管理者が、データ処理を行う場合は、データ保護法とその実施について専門的な知識をもつ人物が、データ管理者または処理者が組織内で本規則を遵守していることを監視するよう支援しなければならない。