メインコンテンツへ
法務企業と法務

EU一般データ保護規則(GDPR)に関する記述として、最も適切なものはどれか。

ア.GDPRはEU域内の居住者の個人データ保護を規定し、EU域外の企業がEU居住者のデータを扱う場合にも適用される。正解
イ.GDPRは欧州連合加盟国の企業にのみ適用され、EU域外に拠点を置く企業には適用されない。
ウ.GDPRに違反しても、罰則は当該国の裁量に委ねられており、統一した制裁金はない。
エ.GDPRでは、個人データ収集に際して本人の同意は不要であり、事後通知で十分とされる。

解説

GDPRは「EU居住者のデータを守る法律」。EU企業だろうが日本企業だろうが、EU居住者のデータを扱えば適用される域外効力が最大の特徴です。

なぜ ア が正解か

アが正解。GDPR(2018年施行)はEU域内に居住する自然人の個人データ保護を目的とし、データ主体の国籍や企業の所在地を問わず、EU居住者のデータを処理する事業者すべてに適用される。違反時の制裁金は最大で年間全世界売上高の4%または2,000万ユーロのいずれか高い方。

なぜ イ は間違いか

GDPRは域外効力を明示的に定めており、EU域外に本社を置く企業でもEU居住者のデータを扱えば対象となる。日本や米国の企業も対応が必要。

なぜ ウ は間違いか

GDPRは制裁金の上限を統一規定しており、各国裁量に任せていない。最大で「年間全世界売上高の4%または2,000万ユーロの高い方」という厳格な上限が設定されている。

なぜ エ は間違いか

GDPRでは原則として個人データ収集前に明示的な同意取得が必要。同意なしに処理できるのは、契約履行・法的義務・正当な利益など限定的な合法根拠がある場合のみ。

出典: AI生成問題(学習用)