EU域内に拠点を有する日本企業がその活動に関連して行う自動処理される個人データの取り扱いについて適用されるほか、EU域内に拠点がない日本企業にも一定の場合にGDPRが適用される場合があります（第１）。
適用対象となれば、第２で説明するような義務が課されます。
仮に、守らなければ、罰則があります（第３）。

第１　GDPRが適用対象となる日本企業の範囲について

１　EU域内に拠点を有する日本企業について

　EU域内に拠点を有する日本企業の場合、当該企業がその活動に関連して自動処理される個人データの取り扱いについてGDPRが適用されます（GDPR第３条１項）。ここでいう「拠点」とは、安定的な設備を通じた実効的かつ実質的な活動が存在することを指し（GDPR前文（２６）項）、典型的なものとしては、EU域内に日本企業が有する支店や子会社を指します。

２　EU域内に拠点のない日本企業について

　EU域内に拠点のない日本企業についても、GDPR第3条の2項（a）または（b）のいずれかにあたる場合は、EU在住の個人のデータの取り扱いに対してGDPRが適用されます。

（１）GDPR第3条2項（a）について

　GDPR第3条2項（a）に該当する場合とは、EUに所在するデータ主体に対する商品もしくはサービスの提供に関する処理を行う場合です。これはデータ主体による支払いが要求されるか否かを問いませんので、無料のサービスにも適用があります。

　ここで、「サービスの提供」をしていると判断されるためには、当該提供の「意思が明確である」必要があります（前文（２３）項）。そして前文（２３）項には、かかる「意思が明確か否か」を判断する要素が次のとおり例示されています（前文（２３）項参照）。

ア　意思が明確であるとされるケース
・管理者が設立された国で一般に使用されている言語、通貨の他、EU域内で一般に使用されている言語または通貨を使用していること
・EU域内にいる消費者や利用者について言及されていること

イ　意思が明確であるとはいえないケース
・EU域内から管理者のWEBサイト、メールアドレスその他の連絡先にアクセスできること
・管理者が設立された国（日本）で一般に使われている言語を使用していること

このように企業の提供するサービスが上記アにあたるような状況であれば、「サービスの提供」の意思が明確であると判断されGDPRの適用を受ける可能性が高くなります。

しかしながら、上記に掲げた前文の例示は、あくまで判断要素の例を挙げたものに過ぎず、上記アの例に該当しない、あるいは、上記イの例に該当するに過ぎない場合であっても、直ちに「サービスの提供」の「意思が明確でない」こと（すなわちGDPR適用外であること）を確定させるものではありません。したがって、EU域内に拠点のない日本企業においても、EU域内の個人のデータを取り扱う場合には、その保護を目的とするGDPRの適用の可能性は否定できません。

（２）GDPR第3条2項（b）について

　GDPR第3条2項（b）にあたる場合とは、データ主体がEU域内で行う行動の監視に関する処理を行う場合です。そして、「行動の監視」をしているか否かの判断要素は前文（２４）項で以下のように例示されているように、データ主体に関する決定を行う目的で、又はデータ主体の個人的な嗜好、行動及び態度を分析または予測する目的で、個人のプロファイリングによるデータ処理技術などにより個人がインターネット上で追跡されているかどうかで判断されます。

３　第１のまとめ

　以上の様に、適用対象となるかどうかはケースバイケースの判断になります。不明な場合には、専門家に依頼の上で、適用の対象となるかどうかを確認されるとよいです。

第２　GDPRが適用される場合における遵守事項

１　個人データの処理について

GDPRにより、個人データを「処理」するための要件が定められました。「処理」を行う場合には、この要件を充たす必要があります。

個人データの「処理」には、収集・保管・変更・開示・閲覧・削除など、個人データに対して行われるほぼすべての行為が該当します。そのため、このような取扱いがされるのであれば、処理の要件を充たさなければなりません。

個人データの処理については、例えば以下のような遵守事項が規定されています。

・処理対象の個人データおよびその処理過程を特定しなければなりません（5条）
・個人データの収集および利用目的について、有効な同意が明示的に行われなければならず、管理者は、当該同意を証明できるようにしなければなりません（6条、7条）
・個人データの処理および保管に当たり、適切な安全管理措置を講じなければなりません（法32条）
・個人データの処理を行う目的の達成に必要な期間を超えて、個人データを保持し続けてはなりません（5条1項(e)）
・個人データの侵害（情報漏えい）が発生した場合、企業はその旨を監督機関に対し、72時間以内に通知しなければなりません。（法33条）また、データ主体にも遅滞なく通知しなければなりません。（法34条）

２　個人データの移転について

GDPRによって、EEA（欧州経済領域）の域内から域外（第三国）への個人データの移転は原則として禁止されます（4条、46条）。

例えば、欧州委員会によって適切な個人情報保護制度を有していると認められていない国への情報移転は、以下のいずれかの要件を満たす必要があります。日本は、適切な個人情報保護制度を有しているとは認められていませんので、日本への情報移転は、以下の義務を充たす必要があります。

①本人の明示的同意を得る（49条1項(a)）
②拘束的企業準則（binding corporate rules）を策定する（46条2項2号（b）、47条）
③標準契約条項（SCC：Standard Contractual Clauses）を締結する(46条2項2号（c）)

第３　義務違反の際の制裁

GDPRの違反に対しては、管理者・取扱者への命令（58条）とともに、その違反の程度応じて、1000万ユーロまたは前会計年度の年間売上高（全世界）の２％のいずれか高い金額、或いは、2000万ユーロまたは前会計年度の年間売上高（全世界）の４％のいずれか高い金額の制裁金が課されることがあります（83条）。

参考URL：JIPDEC一般財団法人日本情報経済社会推進協会

「個人データの取扱いに係る自然人の保護及び当該データの自由な移転に関する欧州議会及び欧州理事会規則」（一般データ保護規則）(仮日本語訳）

https://www.jipdec.or.jp/archives/publications/J0005075