１．GDPRとは？

GDPRは、Genera Data Protection Regulationの略称であり、欧州連合（EU）を法域とする包括的な個人情報保護法に相当する法律です。

（１）GDPRの概要

GDPRにおいては、主体的に個人情報を取り扱う管理者（Controller）を規制対象とし、さらには、管理者のためにデータを処理する処理者（Processor）にも一定の義務規定が課されています（GDPR3条、28条、30条）。

GDPRにおいては、個人情報のあらゆる取扱い（取得、保存、編集、変更、消去、検索、開示、移転、利用等）は制限されており、以下の取扱い正当化根拠のいずれかを有する場合にのみ許されるところに特徴があります（GDPR6条1項）。

1. 本人が、個人情報の処理に同意を与えた場合
2. 契約の履行又は本人の要求により行われる契約締結の準備として処理が必要な場合
3. 管理者の法的義務を遵守するために処理が必要な場合
4. 本人又は他の自然人の重大な利益を保護するために処理が必要な場合
5. 公共の利益又は管理者に与えられた公的な権限の行使において行われる業務遂行において処理が必要な場合
6. 正当な利益（legitimate interests）のために処理が必要な場合（本人の権利・自由が当該利益に優先する場合を除く）

また、個人情報のEU域内からEU域外への移転については、別途後述のクリアランス要件を具備する必要があります。

（２）日本企業がGDPRの域外適用の対象となる場合

日本企業がEU域内に支店や子会社などのEU域内拠点を有する場合、それらのEU域内拠点における個人情報の取り扱いにGDPRが適用されることはもちろんのこと、それらのEU域内拠点の活動の過程における個人情報の取扱いと認められる場合には、日本企業本社における個人情報の取扱いであってもGDPRが域外適用されます（GDPR3条1項）。

例えば、日本企業がEU域内子会社従業員の個人情報を取扱う場合には、通常、GDPRが適用されます。

EU域内拠点を有しない日本企業が、EU域内の個人に対する物品又はサービスの提供に関連して個人情報を取扱う場合には、GDPRが域外適用されます（GDPR3条2項a号）。

典型例としては、日本企業がEU域内消費者に対してB to Cサービスを提供する際に個人情報を取扱う場合です。

また、EU域内拠点を有しない日本企業が、EU域内の個人の行動のモニタリングに関連して個人情報を取扱う場合には、GDPRが域外適用されます（GDPR3条2項b号）。

日本企業がEU域内の消費者のウェブページ閲覧を追跡して行動ターゲティング広告を打つような場合は、GDPRが域外適用されることになります。

（３）GDPR違反をした場合の罰則

GDPRでは、各EU加盟国の当局が、GDPRに違反する行為を行った者に対して、制裁金を科すことができるとされています。

制裁金の上限は違反行為ごとに定められていますが、多くの場合は1,000万ユーロまたは全世界年間売上の2％のいずれか高い金額が制裁金の上限となる一方、本人の権利侵害等の重大な違反行為については、2,000万ユーロまたは全世界年間売上の4％のいずれか高い金額が制裁金の上限とされています（GDPR83条）。

（４）日本の個人情報保護法とGDPRの違い

日本の個人情報保護法とGDPRは、ともに企業の経済活動等における個人情報の利用の自由と個人のプライバシー権あるいは個人情報に関する自己決定権といった基本的人権の保護との調和をはかることを目的としていると考えられますが、両者を比較すると前者は個人情報の利活用により重心を置き、後者は基本的人権の保護により重心を置いていると考えられます。

例えば、日本の個人情報保護法においては、企業は個人情報の利用目的をあらかじめ定めておきさえすれば、その利用目的の範囲内であれば、個人情報を取得し、自社内で取扱うことに特に制限はありません。

企業が当該個人情報を第三者に提供する段になって、本人の同意取得が必要となるのみです。一方、GDPRにおいては、前述のように、個人情報のあらゆる取扱いは制限されており、本人の同意取得等の法定された取扱い正当化根拠が必要です。

これは前者が企業の経済活動等における個人情報の利用の自由をより重視する一方、後者が基本的人権の保護をより重視していることの現れと言えるでしょう。

また、日本の個人情報保護法では個人情報データベース等を事業の用に供している者を個人情報取扱事業者と定義し、管理者 と処理者 を特に区別していません。一方、GDPRでは、管理者と処理者とを区別し、それぞれについて規制を置いています。

（５）日本企業がGDPR対応ですべきこと

GDPRの適用対象となる日本企業は、GDPRを遵守した個人情報の取扱いを行う体制を構築する必要があります。具体的には、まず自社がGDPRの規制上、管理者あるいは処理者に該当するのか、EU域内からデータの移転を受けるのか、といった点について、実際のデータフロー、取扱いやデータベースを確認する必要があり、これをデータマッピングと呼びます。データマッピングを行い、GDPRの規制に即していない点を洗い出した上で、必要に応じて以下の対応を行うことになります。

①　GDPR対応個人情報管理規程及び各種フロー・記録簿の策定

本人の権利への対応(GDPR15～22条)、個人情報取扱記録（GDPR30条）、安全管理措置の構築・実施（GDPR32条）、個人情報への侵害があった際の速やかな監督機関及び本人への通知（GDPR33条及び34条） といったように、GDPRが求める対応事項は少なくありません。

これらに対応するため、個人情報取扱記録を作成・保持し、個人情報取扱規程GDPR特則やインシデント対応フローなどを整備しておく必要があります。

②　GDPR対応プライバシーポリシー等の準備

GDPRの要求事項に応じたプライバシーポリシーを策定する必要があります。また、マーケティング目的でcookieを利用する場合などには、cookieの取得と取扱いに関する同意を取得するためのバナーやポップアップ、CMP(Consent Management Platform)の導入や、cookieの取扱いに関するいわゆるcookieポリシーの策定及び開示が必要となることもあります。

③　域外移転クリアランス要件の具備

個人情報をEU域内からEU域外に移転することは、GDPR上制限されており、(i)移転先国がEUから十分性認定を受けていること（GDPR45条1項）、(ii) 移転元と移転先との間で後述するSCC(Standard Contractual Clauses：標準契約条項)が締結されていること（GDPR46条1項、2項c号）、あるいは(iii) 個人情報の域外移転につきリスクの説明をしたうえで本人の同意を取得していること（GDPR49条1項a号）等のクリアランス要件を具備する必要があります。

④　データの取扱いに関する契約（DPA）の締結

GDPRの適用を受ける個人情報の取扱いを第三者に委託する際には、管理者と処理者、又は処理者と再処理者との間で後述するDPA（Data Processing Agreement：データ処理契約）を締結する必要があります（GDPR28条）。

⑤　EU代理人設置、DPO設置、DPIA実施

EU域内に現地拠点を有しない日本企業がGDPRの域外適用を受ける場合には、原則として、EU域内に代理人を選任する義務があります（GDPR27条）。

また、個人情報の取扱いの性質が、大規模であり、定期的かつ体系的な監視を要する場合や、センシティブデータの大規模な処理を行う場合等の一定の要件を満たす場合には、Data Protection Officer（DPO：データ保護オフィサー）を選任する必要があります（GDPR37条）。

さらに、プロファイリング等の自動的処理に基づき、本人に関する法的又は重大な影響を及ぼす決定を行う場合等の一定の場合には、Data Protection Impact Assessment（DPIA：データ保護影響評価）を実施する必要があります（GDPR35条）。

２．GDPRのSCC（Standard Contractual Clauses：標準契約条項）

個人情報のEU域内からEU域外への移転であって、移転先国が欧州委員会による十分性認定を受けていない国であっても、欧州委員会が採択するSCCを締結すれば、GDPR上の域外移転規制をクリアすることができます（GDPR46条1項、2項c号）。

日本は、2019年1月23日に十分性認定を受けていることから、EU域内から日本への個人情報の移転は、SCC締結を必要とせず、十分性認定に基づいて行うことが可能です。ただし、その場合、個人情報を受け取る日本企業は、個人情報保護委員会が策定した「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」（「補完的ルール」） を遵守する必要があります。

日本が受けている十分性認定は、欧州委員会により撤回されたり、欧州司法裁判所により無効と判断されるリスクがあること、また補完的ルールの遵守の負担もあることから、日本への移転に関して、あえて十分性認定に依拠せず、SCCを締結することも実務では見られます。

（１）SCCの概要

GDPRの前身であるEUデータ保護指令下で策定された旧SCCは、2021年9月27日に廃止され、移行期間を経て、2022年12月27日に無効となっています。

現在は、GDPRで策定された新SCCを利用する必要があります。新SCCの種類としては、C to C、C to P、P to P、P to Cの４種類のモジュールがあります。それぞれ、新SCC契約当事者が管理者（Controller）に該当するか、処理者(Processor)に該当するかに応じて、適切なモジュールを選択して締結する必要があります。

新SCCは、変更不可の契約本文（ただし一部の規定は、適用不適用を選択可です。）と当事者において空欄を補充記載するAnnex I～IIIによって構成されます。

（２）SCCの作成のポイント

Annex Iの個人情報の移転に関する記載（データ主体・個人データのカテゴリー、センシティブデータの保護措置、移転の頻度、移転目的・移転先の処理目的、保存期間等）を簡潔で良いので的確に記載する必要があります。

またAnnex IIに記載する技術的組織的安全管理措置について、移転先企業のセキュリティー基準に基づいて記載する必要があります。新SCC雛形には、安全管理措置の具体例が例示列挙されているので、記載の粒度についての参考になります。

なお、新SCCの作成・締結とは別に、新SCC上の義務の履行として、当事者はデータ移転影響評価を実施する必要があります。

３．GDPRのDPA（Data Processing Agreement：データ処理契約）

管理者は、個人情報の取扱いを処理者に委託する場合は、処理者との間でDPAを締結する必要があります（GDPR28条3項）。

（１）DPAの概要

DPAにおいて、取扱いの対象及び期間、取扱いの性質及び目的、個人データの種類及びデータ主体の類型、並びに、管理者の義務及び権利を規定する他、処理者は、①管理者からの文書化された指示のみに基づいて個人情報を取扱うこと、②処理者の従業員等に守秘義務を課すこと、③GDPR所定の安全管理措置を講ずること、④管理者の承諾なく再処理者を用いないこと、再処理者を用いる場合はDPA締結により再処理者に義務を課すこと、⑤管理者のGDPR上の義務の遵守を支援すること、⑥役務終了後に個人情報を消去または返却すること、⑦管理者による監査を受け入れること等を規定する必要があります。

（２）DPAの作成のポイント

DPAは、EU当局が雛形（DPA SCC）を策定していますが、必ずしもその雛形を利用する必要はありません。DPA SCCは、厳格に処理者を管理すべく策定されており、処理者の負担が重いものになっていることから、処理者としては受け入れにくい側面があります。

あまりに重い負担を課すのでは、処理者を見つけることが困難になりますので、処理者が受け入れ可能な内容のDPAを作成することが実務的には重要となります。特に管理者による処理者の監査の方法を処理者が受け入れ可能な態様に工夫する必要があります。

４．SCC（標準契約条項）とDPA（データ処理契約）の違い

前述のとおりですが、SCCは、個人データのEU域外移転規制をクリアするために締結する契約であり、EU当局が公表している雛形を使用する必要があります。

一方、DPAは、個人情報取扱いの委託先に対する監督責任を果たすために締結する契約であり、EU当局が公表している雛形もありますが、必ずしもその雛形を使用する必要はなく、GDPR28条3項各号に列挙されている事項を含んだ任意的なDPAを作成・締結すれば足ります。

なお、SCCのC to Pのモジュールを締結する場合は、同モジュールは、実質的にDPAの内容を含んでいることから、別途DPAを締結する必要はありません。