GDPRコンプライアンスの理解:主要な原則と要件
オンライン事業を展開する企業は、通常の業務過程で顧客の個人データを収集する可能性が高いです。しかし、欧州経済領域(EEA)? 基本的に欧州連合(EU)に加えアイスランド、リヒテンシュタイン、ノルウェー ? に居住する顧客を持つ企業は、一般データ保護規則(GDPR)に準拠しなければなりません。ブレグジット後の英国データ主体にサービスを提供する企業は、特定の地域的差異を含む英国版GDPR(UK GDPR)にも準拠する必要があります。
GDPR当局が対象とするのは個人データ(非個人データや匿名データではない)のみであり、ユーザーの権利とプライバシーを尊重した方法で収集・利用・保管されることを保証します。
準拠しない場合、以下のような重大なビジネスリスクが生じる可能性があります:
- 金銭的罰則(詳細は後述)
- 情報誤処理に対するデータ主体からの損害賠償請求
- 評判の毀損(データ侵害発生時)
- 業務の混乱
- 経営陣の個人責任(制裁の可能性を含む)
本記事では、GDPRと個人データ保護、欧州のデータ主体に付与される権利、およびそれらの権利の行使方法について解説します。最後に、GDPR準拠のための11ステップ計画をまとめます。
それでは始めましょう。
非準拠の代償
GDPR違反に対するこれまでの最高罰金は、2023年5月に科された12億ユーロです。これはアイルランドデータ保護委員会(DPC)がMeta(旧Facebook)に対して課したもので、2020年7月16日以降、MetaがEU/EEAのデータ主体の個人データをGDPRの国際データ移転規則に違反して米国へ移転したことが理由でした。
GDPR違反に対する罰金は他にも数多く科されており、今後もさらに増える見込みです:
| Penalty | Company | Supervisory Authority | Date |
| €746 million | Amazon | Luxembourg National Commission for Data Protection (CNDP) | 16 July 2021 |
| €405 million | Meta | Ireland’s Data Protection Commission (DPC) | 5 September 2022 |
| €390 million | Meta | Ireland’s Data Protection Commission (DPC) | 6 January 2023 |
| €345 million | TikTok | Ireland’s Data Protection Commission (DPC) | 1 September 2023 |
| €310 million | Ireland’s Data Protection Commission (DPC) | 30 October 2024 | |
| €290 million | Uber | Dutch Data Protection Authority (DPA) | 26 August 2024 |
これは巨額な金額です。欧州の監督当局は執行を真剣に受け止めています
では、そもそも個人データとは何でしょうか?
GDPRでは、個人データとはデータ主体(特定された、または特定可能な個人)に関するあらゆる情報を指すと定義しています。これには直接的な識別子(氏名、住所、ID番号など)と間接的な識別子(IPアドレス、位置情報など)の両方が含まれます。個人データは一般データと特別カテゴリーデータの2種類に分類されます。
一般データには、氏名、連絡先、財務情報などの識別子が含まれます。
人種・民族的出身、健康データ、生体認証情報、性的指向などの特別カテゴリーデータは、より高度な保護が必要です。
人種や民族的出身、健康データ、生体認証情報、性的指向などの特別なカテゴリーのデータは、より一層の保護が必要です。
特別カテゴリーデータの処理は、特定の条件下でのみ許可されます。例えば、明示的な同意が得られた場合、生命の脅威などの重大な利益が関与する場合、法的義務、または公共の利益が関与する場合などです。GDPRは、個人のプライバシーと権利に与える潜在的な影響を考慮し、機微なデータの保護を特に重視しています。
GDPRにおける重要な用語
前述のデータ主体、個人データ、特別カテゴリーデータに加え、GDPRでは組織が理解すべきその他の法的用語や概念が導入されています。データ管理者は、収集する個人データとその利用方法を決定します。データ処理者は、データ管理者に代わってデータを処理します。
データ保護責任者(DPO)はGDPR遵守を監督します。処理とは、データの収集、解析、保存など、データに対して行われるあらゆる操作を指します。この処理には、同意、契約、正当な利益などの法的根拠が必要です。また、同意は自由意思に基づく、特定の目的のための、容易に撤回可能なものでなければなりません。
データ侵害とは、個人データへの不正アクセスまたは紛失を指します。データ保護影響評価(DPIA)は個人の権利に対するリスクを特定します。データ最小化は、組織が収集するデータを最小限に抑えることを要求します。EU/EEA加盟国は、自国領域内でGDPRを執行する監督当局を任命しています。
EU/EEA域内のデータ主体のGDPRに基づく権利
GDPRは、個人データが処理される際にEU/EEA域内に物理的に所在する個人(データ主体)に対し、国籍や居住状況にかかわらず特定の権利を付与します。事業者の物理的または法的所在は関係なく、決定要因は処理時点におけるデータ主体の所在場所です。
法令違反は、国内法で罰則が適用される管轄区域において、多額の罰金や刑事訴追につながる可能性があります。
責任あるデータ処理を支援するため、GDPRは主要な基本的権利を定義しています
透明性
GDPRに基づきEU/EEAのデータ主体に認められる透明性に関する権利は次の2つ:
- 情報提供を受ける権利(事前的、データ収集時に適用)
- アクセス権(事後的、データ主体が請求した際に適用)
データ主体に対し、以下の具体的な詳細を当該処理について提供することを義務付けることで透明性を確保します:
- データを処理する企業または組織(連絡先を含む)
- データ利用の理由
- 関与する個人データのカテゴリー
- データ処理の法的根拠
- データの保存期間
- データにアクセスする他の企業・組織・第三者
- EU/EEA域外へのデータ移転の有無
プライバシー通知は、GDPR第12条〜第14条の基準を満たす必要があります。これには、収集するデータの内容、目的、およびユーザーが権利を行使する方法が含まれます。
詳細については、以下をご覧ください:GDPR準拠のプライバシー通知の作成方法
異議申立てと処理の制限
GDPRの下では、EU/EEA域内の個人は、個人データの処理に対して以下の2つの主要な点で異議を申し立てる権利を有します:
- ダイレクトマーケティングに対して異議を申し立てることができ、その後組織は正当な理由を必要とせず、直ちに当該データの処理を停止しなければなりません。
- 組織の正当な利益または公共の利益に基づく処理の場合、データ主体は自身の権利・自由がそれらの利益を上回ると判断すれば異議を申し立てられます。この場合も、組織が個人の権利を上回る強固な正当な根拠を証明しない限り、処理を停止しなければなりません。
個人は以下の状況においてデータ処理の一時制限を請求できます:
- データが正確でない場合(検証完了まで)
- 処理が違法であるが、削除よりも制限を希望する場合。
- データが使用されなくなったが、法的目的で保持が必要な場合。
- 正当な根拠の確認待ち期間中に処理に異議を申し立てた後。
制限期間中、組織はデータの保管を継続できますが、明示的な同意がない限り、または特定の例外が適用される場合を除き、処理を行ってはなりません。
訂正および消去
個人は、自身のデータにおける誤りを訂正し、消去(データ削除)を求める権利を有します。まず、不正確または不完全な個人データの修正を請求できます。GDPRは、組織に対し、保管されたデータが正確かつ最新の状態を維持されるよう、不当な遅滞なく対応することを義務付けています。
消去権(いわゆる忘れられる権利)により、個人は以下の場合に自身の個人データの削除を請求できます:
- 当初の目的達成に不要となった場合
- 同意を撤回し、他の法的根拠が存在しない場合
- 処理が違法である場合
- 処理に異議を申し立て、優先される正当な根拠が存在しない場合
- 法的義務遵守のために削除が必要な場合
組織は、例外(法令遵守、公益、法的請求など)が適用されない限り、データを削除しなければなりません。
データポータビリティ
GDPRはデータポータビリティの権利を定めています。個人は、自身の個人データを構造化され、共通で、機械で読み取り可能な形式で提供することを要求できます。これにより、データの確認や他のサービスプロバイダーへの移行が容易になります。これは以下の場合に適用されます:
- 個人によって提供されたデータ(例:氏名、メールアドレス)またはサービスの利用を通じて間接的に提供されたデータ(例:購入履歴)
- 同意または契約に基づいて処理される場合
- 自動化された手段で処理される場合
ポータビリティは法的義務または正当な利益に基づいて処理される個人データには適用されません。処理が同意または契約に基づき、かつ自動化された手段で行われる場合にのみ適用されます。
技術的に実現可能な場合、GDPRは組織に対し、本人の要求に応じて個人データを別の管理者へ直接移転することを促進するよう求めています。
自動化された意思決定とプロファイリング
GDPRは、EU/EEAのデータ主体に対し、人間の関与なしに、法的または同等の重要な影響を及ぼす自動化された意思決定のみに服することのない権利を認めています。これは、採用選考、融資承認、保険料金設定など、彼らに影響を与える問題に適用されます。彼らは以下を行うことができます:
- 人間の介入を要求する:実際の担当者が決定を再審査する必要があります。
- 自身の見解を表明する:追加情報を提供するか、結果に異議を申し立てます。
- 決定への異議申し立て:不当な場合は正当な理由の説明と修正を要求できる。
例:オンラインで融資を申請した人物が、信用履歴に基づきアルゴリズムによって申請を拒否された場合、公平性を確保し、最近の債務返済完了などの特別な事情を考慮するため、人間の審査を要求できる。
ただし、GDPRでは以下のいずれかに該当する場合、自動化された決定が認められる例外も規定している:
- 明示的な同意を得ている場合
- 契約締結に必要である場合。
- 法的根拠に基づき、適切な保護措置を講じた場合。
GDPRはどのように施行されるのか?
GDPRの施行は、主にEU/EEA各国の国内監督当局によって行われます。これらの当局は、管轄区域内で苦情の調査、監査の実施、違反に対する罰則の適用を行います。越境事例においては、ワンストップショップ制度を通じて協力し、施行を調整する主導当局を指定します。
欧州データ保護監督官(EDPS)は、EU機関および機関のための独立したデータ保護当局です。民間セクターや各国の公共セクター組織を監督するものではなく、GDPRの一般的な執行機関でもありません。
欧州データ保護委員会(EDPB)は、EU/EEA全域におけるGDPRの一貫した適用を確保する責任を有する機関です。各国の監督機関およびEDPSの代表者で構成されるEDPBは、ガイドラインを発行し、監督機関間の紛争を解決し、越境案件において拘束力のある決定を採択します。
GDPRの起源
EUのこの規制は、デジタル時代以前に制定された1995年のデータ保護指令(DPD)に代わるものとして2016年に採択されました。技術の利用が増加するにつれ、膨大な量の個人データが収集、解析、保存されるようになり、多くの場合、本人の知らないうちにプライバシーとセキュリティが脅かされる事態が生じていました。
GDPRの主な動機は、加盟国ごとに個別に実施を要する指令ではなく、直接適用可能な規則を通じてEU/EEA全域でデータ保護規則の適用を統一することにありました。その目的は、分断を解消し、一貫した執行を確保し、個人の権利を強化することです。
こうしてGDPRが登場した。EU加盟27カ国、欧州議会、欧州委員会による数年にわたる交渉を経て合意され、2016年に正式採択、2018年5月25日に完全施行されました。ただし重要な違いがあります。DPDは加盟国が個別に実施すべき指令であったのに対し、GDPRは施行日からEU/EEA全域で統一的に適用されます。
EEAは2018年7月6日にGDPRを採択し、同年7月20日に発効しました。以来、ブラジル(LGPD)、インド、日本などのデータ保護・プライバシー法に影響を与える世界的テンプレートとなっています。英国はブレグジット後もGDPRを維持し、EU版にほぼ準拠しつつ将来的な差異を許容する「英国版GDPR」として適応させました。
誰に適用されるのか?
GDPRはEU/EEA域内に居住する個人の個人データを保護します。この規則は、そのデータを処理するあらゆる組織に適用され、その組織が世界のどこに位置しているかは問いません。データが保存および/または処理のためにEU/EEA域外に転送された場合でも、この原則は変わりません。
課された罰金からも明らかなように、組織はこの規制への対応に苦慮しています。罰金が支払われたか、交渉により減額されたか、あるいは未払いのままであるかにかかわらず、その存在自体が関係企業にとって継続的な不確実性となっています。
適用対象となる組織
以下のいずれかに該当する場合、GDPRが適用されます:
- EU/EEA域内に事業所またはその他の形態の施設を有する場合、または
- EU/EEA域内に所在するデータ主体に対して商品・サービスを提供する場合(無料の場合も含む)、または
- EU/EEA域内のデータ主体の行動を監視する場合(例:クッキーや解析ツールによる)
GDPRは何を要求しているのか?
GDPRは、組織が明確なデータ保護原則を尊重することを要求しています:適法性、公正性と透明性、目的限定、データ最小化、正確性、保存期間の制限、完全性と機密性、説明責任です。また、個人データを処理する際に常に有効な法的根拠(同意、契約、法的義務、正当な利益など)を確保することを義務付けています。
データは、収集された特定の目的を達成するために必要な期間を超えて保存してはなりません。個人データの安全性と完全性を確保し、侵害、紛失、不正アクセスから保護するために、適切な組織的措置を講じる必要があります。報告義務のあるデータ侵害が発生した場合、72時間以内に管轄監督当局へ報告しなければなりません。侵害が権利への高いリスクをもたらす可能性がある場合、影響を受けた個人に通知する必要があります。
組織はまた、処理活動の詳細な記録を保持し、高リスク処理に対してDPIAを実施することで説明責任を果たさなければなりません。中核活動が特別なカテゴリーのデータの大規模な処理、または個人の定期的かつ体系的な監視を含む場合、DPOを任命する必要があります。
最後に、組織はGDPR第V章の仕組み(十分性認定、標準契約条項、拘束的企業規則など)を通じてEU/EEA域外にデータを移転する際、適切な保護措置を実施しなければなりません。
これらの要件を順守することで、組織はGDPRへの準拠を確保し、EU/EEAのデータ主体のデータプライバシーと権利を保護します。
コンプライアンス達成のための11のステップ
GDPRが組織の個人データ処理に適用されることを確認したら、コンプライアンス達成に向けた取り組みを開始できます。
以下に、そのプロセスを11の明確なステップに分解し、ガイドとしてご提供します。
ステップ1:データのマッピング:目的、利用方法、法的根拠
EU、EEA、英国で事業を展開し、当該地域のデータ主体の個人データを扱う組織は、現在保有するすべての個人データを監査する必要があります。
組織は、GDPRの対象となる全データの処理に関する法的根拠を特定しなければなりません。法的根拠が見つからない、または正当化できない場合、その処理はGDPRの下で許可されません。
ステップ2:DPOの任命を検討する
GDPRの条文によれば、DPOの任命は特定の条件下でのみ義務付けられており、主に処理量と組織の種類によって決まります。ただし、以下の状況ではDPOの任命が必須となります。
- 日常業務として個人データを処理する公的機関(司法権限を行使する裁判所を除く)
- 大規模なデータ主体の定期的かつ体系的な監視を中核活動とする組織
- GDPRで定義される特定の「特別な」データカテゴリー、または犯罪に関するデータを中核活動として大規模に処理する組織
定義は曖昧であり、GDPRは「中核的活動」や「大規模」を明確に規定していません。自組織が該当するか不明な場合は、法的助言を求め慎重に対応すべきです。いずれにせよ、DPOの任命が義務付けられていない場合でも、内部でGDPR遵守の取り組みを監視・監督する担当者を任命することが望ましいでしょう。
ステップ3:監督当局の特定
これは一般的に、組織が事業を展開する地域によって規定されます。ただし、GDPRでは複数国にまたがる事業活動についても規定を設けています。そのような場合、GDPRは監督を効率化するためのワンストップショップ方式を提供します。
この場合、主たる監督当局(LSA)が指定される。組織は主たる監督当局を自由に選択できず、主たる事業所所在地によって決定される(GDPR第56条)。
大半のEEA加盟国には監督当局が1つしかありません。ドイツは例外です。連邦州ごとに独自のデータ保護当局(DPA)が存在し、連邦事項は連邦データ保護・情報自由担当官(Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit)が監督します。
ステップ4:データ保護影響評価(DPIA)の実施を検討する
GDPRでは、個人情報の処理が個人の権利や自由に対して高いリスクをもたらす可能性がある場合、DPIAの実施が義務付けられています。例としては、機微なデータの大規模な処理、体系的なプロファイリング、公共の場での監視、革新的な技術の使用などが挙げられます。DPIAでは、処理内容の説明、必要性の評価、リスクの特定、軽減措置の実施を行います。
このプロセスで軽減不能な残存リスクが判明した場合、処理実施前に指名監督機関へDPIA報告書を提出し協議を得なければなりません。フィードバックは8週間以内(最大14週間まで延長可能)に得られ、その勧告事項は必ず実施する必要があります。DPIAの実施はコンプライアンス確保の一手段であり、個人の権利保護と違反罰金の回避にもつながります。
ステップ5:データ侵害対応プロセスの確立
組織は、侵害の範囲と影響を特定・評価するシステムを迅速に導入しなければなりません。侵害を封じ込めるため直ちに行動し、詳細と実施した措置をすべて記録する必要があります。
個人の権利や自由に対するリスクをもたらす可能性のあるデータ侵害は、組織が侵害を認識してから72時間以内に監督当局へ報告しなければなりません。侵害が個人の権利や自由に対する高いリスクをもたらす可能性がある場合、管理者は影響を受けた個人にも通知する義務があります。データ侵害対応プロセスは定期的に見直し、従業員研修にも組み込む必要があります。
以下は簡略版です:
| Simplified data breach response checklist | |
| Detect and confirm the breach | |
| Contain and mitigate the impact | |
| Assess the severity and potential harm | |
| Document the breach | |
| Report the breach | |
| Inform affected individuals | |
| Review and improve | |
| Train staff in breach response protocols | |
ステップ6:ウェブサイトとウェブフォームのセキュリティを確認する
ウェブサイトとそのフォームは個人データへの主要な入口であり、悪意ある攻撃者にとって高価値な標的となります。これらの入口を安全に保つことは、ユーザーデータを保護し、GDPRが求める機密性、完全性、回復力(第32条)を満たすために不可欠です。
実施すべき主な対策は以下の通りです:
| Website and form security best practices | |
| Use HTTPS with a valid SSL/TLS certificate | Ensure pages that collect/display personal data are served over HTTPS to encrypt data in transit and prevent interception. |
| Secure all data collection forms | Validate and sanitize user input to protect against common threats, such as cross-site scripting (XSS), injection attacks, and form spam. Use security headers such as Content Security Policy (CSP) to prevent malicious script execution. Implement CAPTCHAs or other bot detection. |
| Restrict access to form submissions | Store submitted data securely and restrict access to authorized personnel. Use strong passwords, enable multi-factor authentication (MFA), and apply role-based access controls (RBAC) where possible. |
| Keep your website software up to date | Apply regular security patches to your CMS, plugins, and third-party libraries. Remove unused components and services that may introduce vulnerabilities. |
| Monitor and test for vulnerabilities | Perform regular security scans andpenetration tests to identify risks. Monitor error logs and unusual activity, especially around form endpoints. |
フォームのセキュリティ強化と侵害リスク低減に向けたこれらの積極的な取り組みは、組織のGDPRコンプライアンス態勢を支えることになります。
ステップ7:必要な場合の年齢を考慮する
GDPR第8条に基づき、年齢確認が求められるのは以下の場合のみです:
- 個人データの処理が同意に基づいて行われる場合、かつ
- サービスが直接子どもに提供される場合(すなわち、オンラインで提供される情報社会サービス)
これらの場合、組織は国内法でより低い年齢基準(例:英国の13歳)が設定されていない限り、児童が少なくとも16歳以上であることを確認しなければなりません。
年齢確認方法は、リスクのレベルに見合った比例性、データ最小化の原則に沿ったもの、対象者に適切なものでなければなりません。一般的な手法には以下が含まれます:
- 確認プロンプト付き自己申告
- メールベースの親同意取得メカニズム
- 児童向けでないサービスへのコンテンツ制限または告知
生体認証推定、政府発行IDのアップロード、動画による本人確認など、より侵襲的な手法は、絶対に必要な場合を除き避けるべきです。正当化される場合、こうした手法はデータ保護影響評価(DPIA)を実施し、必要な必要性と比例性の基準を満たさなければなりません。
ステップ8:すべてのメールリストとサービスにダブルオプトインを導入する
現在、ドイツは国内のGDPR実施法およびeプライバシー法においてダブルオプトインを明確に義務付ける唯一のEU加盟国です。EUおよびEEAの他の地域では明示的に要求されていませんが、明示的な同意を確保するためのベストプラクティスとして広く推奨されています。
このプロセスにより、ユーザーが明示的に同意したことを確認できると同時に、不正利用の機会を減らし、コンプライアンスを向上させます。また、顧客が自身のデータがどのように扱われているかを理解できるため、信頼構築にもつながります。明確で最新のプライバシーポリシーは、このプロセスに不可欠です。ポリシーには、データの使用方法と保存方法、および個人の権利を行使する方法が明記されている必要があります。
例えば、メールマーケティングキャンペーンにおける同意取得には以下の手順が含まれる場合があります:
- ユーザーがニュースレターやサービスに登録する。
- 確認メール/テキストメッセージ(検証リンク付き)が送信される。
- ユーザーがリンクをクリックして同意を確定する。
ステップ9:国際的なデータ転送の制限
GDPRは、特定の条件を満たさない限り、データ主体の個人データを欧州経済領域(EEA)外に転送することを制限しています。
以下の条件のいずれかを満たさない限り、そのような転送は許可されません:
- 適切な保護措置が講じられていること。例えば:
・欧州委員会が承認した標準契約条項(SCC)
・多国籍企業グループ向けの拘束的企業規則(BCR) - 移転先国が欧州委員会から十分性認定を受けた以下のいずれかの国であること。
| Countries with GDPR adequacy decisions (as of July 2025) | |
| Andorra | Full adequacy decision |
| Argentina | Full adequacy decision |
| Canada | Applies only to commercial organisations under PIPEDA |
| Faroe Islands | Full adequacy decision |
| Guernsey | Full adequacy decision |
| Isle of Man | Full adequacy decision |
| Israel | Full adequacy decision |
| Japan | Adequacy with additional safeguards aligned to EU standards |
| Jersey | Full adequacy decision |
| New Zealand | Full adequacy decision |
| Republic of Korea | Adequacy decision adopted in 2021 |
| Switzerland | Longstanding adequacy decision (dating back to the 2000s) |
| United Kingdom | Adequacy under both GDPR and the Law Enforcement Directive (LED) |
| United States | Applies only to commercial organisations certified under the EU-US Data Privacy Framework |
違法なデータ移転に対しては、既に巨額の罰金(Meta社の12億ユーロなど)が科されています。さらに、EUデータの取り扱いを委託された第三者サービスプロバイダーやデータ処理業者もGDPRに準拠する必要があります。
個人データがEEA域外の第三者によって処理される場合、組織は契約上の保護措置がGDPR第28条に準拠していることを確認しなければなりません。これらの処理者管理保護措置は以下の内容をカバーします:
- 契約上 : 処理者が個人データに対して許可される行為を定義
- セキュリティ : データを保護するための技術的・組織的保護措置を明示
- 漏洩通知 : 処理者に漏洩を適時に報告することを義務付け
- 下請け処理者監督 : 下請け処理者に対する承認権限を付与
- サービス終了時の取り扱い : 契約終了時の個人データの返却または適切な廃棄を確保
- 監査権限 : 必要に応じて管理者が処理者のコンプライアンスを監査することを許可
ステップ10:処理活動記録(ROPA)
GDPRは、データ管理者およびデータ処理者の双方に処理活動記録(ROPA)の維持を義務付けています。この処理記録には、個人データがどのように、なぜ処理されるかが詳細に記載され、以下の内容を含める必要があります:
- 氏名および連絡先(該当する場合はDPOを含む)
- 処理目的(マーケティング、人事、カスタマーサービスなど)
- データカテゴリー(氏名、メールアドレス、財務データなど)
- データ主体のカテゴリー(顧客、従業員)
- EEA域外への移転(法的根拠、標準契約条項(SCC)などの保護措置)
- 各データカテゴリーの保持期間
- セキュリティ対策(暗号化、アクセス制御など)
データ管理者については、ROPAにはサービス提供者や処理者など、個人データを受領する者の氏名および詳細も記載する必要があります。また、監査やデータ侵害の解析に必要な、組織内(および第三者)におけるデータの流れをマッピングすることも求められます。
効果的なROPAは強固なデータガバナンスに依存します。明確に定義されたプロセス、継続的な研修、定期的な見直しは、内部ポリシーを実際の個人データ取扱方法と整合させるために不可欠です。
ROPAの維持はGDPRの説明責任原則も支援します:組織はコンプライアンスを主張するだけでなく、実証できなければなりません。文書化されたポリシー、監査記録、研修記録はこれを証明する証拠を提供します。
ステップ11:データ主体の権利管理
欧州経済領域(EEA)のデータ主体の個人データを収集、保存、解析、または処理する組織は、GDPRに基づく顧客の権利について定期的に通知する必要があります。特に、データ主体がデータ主体アクセス要求(DSAR)を提出する権利があることを通知し、自身の個人データへのアクセスを求める個人からのDSARには迅速に対応しなければなりません。
EEAデータ主体は、とりわけ以下を請求できます:
- 自身のデータが処理されていることの確認
- 自身のデータの写し
- 自身のデータがどのように、なぜ処理されているかに関する情報
- 処理の目的
- 関与する個人データのカテゴリー
- データを受け取る受領者または受領者のカテゴリー
- データ保持期間またはそれを決定するために使用される基準
- データソース (個人から直接収集されていない場合)
DSARは、明らかに根拠がない、または過剰な要求である場合、あるいはデータ提供が他者の権利に悪影響を及ぼす場合、拒否される可能性があります。ただし、これは最終手段として用いることが望ましいです。
GDPRコンプライアンスの実践
GDPRコンプライアンスは自動的には達成されません。Matomoのようなプライバシー重視のツールや、Googleアナリティクス 4のような再構成されたプラットフォームを使用しても同様です。使用するアナリティクスソリューションに関わらず、GDPRやeプライバシー指令などのデータ保護法は、組織に対して以下のことを要求します:
- 追跡は合法的な場合にのみ行い、必要な場合には有効なユーザーの同意を得ること。
- GDPRに準拠したプライバシー設定を構成すること
- 比例性・透明性を備え、正当かつ開示された目的に資するデータのみを収集すること
優れたツールであっても、適切に使用されなければ機能しません。そのため、ガバナンス、意図的な設定、一貫した同意管理がコンプライアンスの必須要素となります。
Matomoは、安全でプライバシー重視のGDPR準拠アナリティクスを提供します。組み込みのGDPRマネージャーとプライバシーセンターにより、プライバシー設定を微調整できます。
Matomoを始めるには、21日間の無料トライアルにサインアップできます。クレジットカードは不要です。