GDPR

GDPRの条文第4条では、個人データを以下のように定義しています。

「個人データ」とは、識別された自然人又は識別可能な自然人（「データ主体」）に関する情報を意味する。
識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

（出典元：一般データ保護規則　条文 / 個人情報保護委員会）

氏名や識別番号に加えて、IPアドレスなどのオンライン識別子も含まれていることに注意が必要です。

GDPRの地理的な適用範囲は、第3条により以下のように定められています。

• その取扱いがEU域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
• EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。

（出典元：一般データ保護規則　条文 / 個人情報保護委員会）

そのため、EU域内に支店や子会社などの拠点を持っていなくても、EU域内の個人に対してサービスを提供している、あるいは個人データの処理や監視をEU域内の企業から受託している企業などでも注意が必要となります。

2019年1月23日、日本は欧州委員会から「十分性認定」を得ました。スイスやカナダなど、約10の国や地域で認定されていますが、個人データの保護について十分な水準を保障している国や地域に対してなされる認定です。
GDPRはEU域内からEU域外への個人データの持ち出しを原則として禁止していますが、この「十分性認定」を得たことにより、EU域内からの日本への個人データの持ち出しが円滑に行えるようになりました。

参照：ビジネス短信｜日EU間で個人データ保護水準に関する相互十分性を認定 / JETRO

ただし、GDPRの適用外になったわけではないため、EU域内から持ち出した個人データはGDRPに基づいて日本でも適切な対応を継続しなければなりません。例えば、EU域内から日本へ移転した個人データを、十分性認定を受けていない第三国へ持ち出すことは禁止されています。

十分性認定を得て個人データの移転が容易になったとはいえ、認定後もGDPRが適用されることは変わりません。
個人データの取り扱いそのものには引き続き注意を払う必要があります。