EU一般いっぱんデータ保護ほご規則きそく

この記事きじは特とくに記述きじゅつがない限かぎり、欧州おうしゅう連合れんごうの法令ほうれいについて解説かいせつしています。また最新さいしんの法令ほうれい改正かいせいを反映はんえいしていない場合ばあいがあります。 ご自身じしんが現実げんじつに遭遇そうぐうした事件じけんについては法律ほうりつ関連かんれんの専門せんもん家かにご相談そうだんください。免責めんせき事項じこうもお読よみください。

規則きそく (EU) 2016/679

欧州おうしゅう連合れんごう規則きそく
名称めいしょう	個人こじんデータの処理しょりにかかる自然人しぜんじんの保護ほごおよび当該とうがいデータの自由じゆうな移動いどうに関かんする、並ならびに指令しれい95/46/ECを廃止はいしする規則きそく
制定せいてい者しゃ	欧州おうしゅう議会ぎかいおよび欧州おうしゅう理事りじ会かい
EU官報かんぽう	L119, 4/5/2016, p. 1–88
歴史れきし
制定せいてい日び	2016年ねん4月がつ27日にち
各国かっこく導入どうにゅう期限きげん	2018年ねん5月がつ25日にち
立法りっぽう審議しんぎ文書ぶんしょ
欧州おうしゅう委員いいん会かい提案ていあん	COM/2012/010 final - 2012/0010 (COD)
関連かんれん法令ほうれい
改廃かいはい対象たいしょう	EUデータ保護ほご指令しれい（英語えいご版ばん）
現行げんこう法ほう

EU一般いっぱんデータ保護ほご規則きそく（EUいっぱんデータほごきそく、英えい: General Data Protection Regulation; GDPR）（規則きそく 2016/679）は、欧州おうしゅう議会ぎかい・欧州おうしゅう理事りじ会かいおよび欧州おうしゅう委員いいん会かいが欧州おうしゅう連合れんごう (EU) 内ないのすべての個人こじんのためにデータ保護ほごを強化きょうかし統合とうごうすることを意図いとしている規則きそくである。欧州おうしゅう連合れんごう域外いきがいへの個人こじんデータの移転いてんも対象たいしょうとする。

EU一般いっぱんデータ保護ほご規則きそくの目的もくてきは、個人こじんデータの処理しょりにかかる個人こじんの権利けんりと自由じゆうを保護ほごすること、および欧州おうしゅう連合れんごう域内いきないの規則きそくを統合とうごうすることによって、国際こくさい的てきなビジネスのための規制きせい環境かんきょうを簡潔かんけつにすることである^[1]。EU一般いっぱんデータ保護ほご規則きそくの発効はっこうによって、1995年ねん以来いらいのデータ保護ほご指令しれい（正式せいしきには Directive 95/46/EC）^[2] は置おき換かえられた。この規則きそくは2016年ねん4月がつ27日にちに採択さいたくされ、2年間ねんかんの移行いこう期間きかんの後のち、2018年ねん5月がつ25日にちから適用てきようされた。

1995年ねんのデータ保護ほご指令しれいが欧州おうしゅう連合れんごう各国かっこくのデータ保護ほご規則きそくの断片だんぺん化かを招まねいたため（備考びこう (Recital) 9）、同どう指令しれいとは異ことなり、この規則きそくに関かんして欧州おうしゅう連合れんごう各国かっこく政府せいふは特別とくべつに法ほう規制きせいを採択さいたくする必要ひつようがない^[3]。ただし、EU各国かっこくが特定とくていのデータ処理しょりについて、より限定げんてい的てきな国内こくない法ほうを制定せいていすることを妨さまたげるものではない（備考びこう (Recital) 10）。

EU一般いっぱんデータ保護ほご規則きそく法ほうは、主要しゅような要求ようきゅうとして以下いかの各かく項目こうもくを含ふくんでいる^[4]。

本ほん規則きそくは、データ管理かんり者しゃ（EU居住きょじゅう者しゃからデータを収集しゅうしゅうする組織そしき）または処理しょり者しゃ（データ管理かんり者しゃの代理だいりとしてデータを処理しょりする組織そしき）またはデータ主体しゅたい（個人こじん）がEU域内いきないに拠点きょてんをおく場合ばあいに適用てきようされる。さらに本ほん規則きそくは、EU居住きょじゅう者しゃの個人こじんデータを収集しゅうしゅうまたは処理しょりする場合ばあいは、EU域外いきがいに拠点きょてんをおく組織そしきにも適用てきようされる。欧州おうしゅう委員いいん会かいによれば、「個人こじんデータとは、個人こじんの私生活しせいかつであれ、職業しょくぎょうであれ、あるいは公的こうてき生活せいかつであれ、個人こじんに関係かんけいするあらゆる情報じょうほうのことである。氏名しめい、自宅じたく住所じゅうしょ、写真しゃしん、電子でんしメールアドレス、銀行ぎんこう口座こうざの詳細しょうさい情報じょうほう、ソーシャル・ネットワーク・ウェブサイトへの書かき込こみ、医療いりょう情報じょうほう、コンピュータのIPアドレスまで、あらゆるものを含ふくむ」^[5]。

本ほん規則きそくは国家こっか安全あんぜん保障ほしょうの活動かつどう、または、法ほうの執行しっこうのための個人こじんデータ処理しょりには適用てきようされない。しかし、データ保護ほご規則きそくの改革かいかくパッケージは、警察けいさつおよび刑事けいじ司法しほう分野ぶんやに対たいしては、個別こべつのデータ保護ほご指令しれいを含ふくんでいる。この個別こべつのデータ保護ほご指令しれいは、国内こくない、欧州おうしゅうおよび国際こくさい的てきな個人こじんデータの交換こうかんに対たいする包括ほうかつ的てきな規則きそくを提供ていきょうしている。

組織そしきの規模きぼに関かんしては、零細れいさい・中小ちゅうしょう企業きぎょう等とう、規模きぼを問とわず本ほん規則きそくの対象たいしょうとなる。ただし個人こじんデータ処理しょりに関かんする様々さまざまな義務ぎむのうち、処理しょり記録きろくを保管ほかんする義務ぎむについてのみ、被ひ雇用こよう者しゃ250名めい未満みまんの組織そしきについては免除めんじょされる（第だい30条じょう5項こう）。

なおこの処理しょり記録きろくの保管ほかん (records of processing activities) につき、処理しょり過程かていの処理しょりログ等とうを全ぜん件けん記録きろくする必要ひつようがあるという理解りかいはGDPR 第だい30条じょう英語えいご版ばんの「records」に起因きいんする誤読ごどくであり、フランス語ふらんすご版ばんでは「journal（ログ）」ではなく「registre（帳簿ちょうぼ） des activités de traitement」、つまり台帳だいちょうとして各種かくしゅ処理しょり活動かつどうを一覧いちらん化かすることである。

本ほん規則きそくの対象たいしょうとなるデータ処理しょりは大別たいべつして二に種類しゅるい、商品しょうひんまたはサービスの提供ていきょうに関かんする処理しょり（第だい4条じょう2項こう(a)、備考びこう (Recital) 23）、データ主体しゅたいの行動こうどうのモニタリングに関かんする処理しょり（第だい4条じょう2項こう(b)、備考びこう (Recital) 24）がある。

まず、商品しょうひんまたはサービスの提供ていきょうに関かんする処理しょりについて、本ほん規則きそくの対象たいしょうとなる個人こじんデータ処理しょりとは、支払しはらいの発生はっせいの有無うむにかかわらず、EU域内いきないの自然人しぜんじんに対たいする商品しょうひんまたはサービスの提供ていきょうに関かんする処理しょり活動かつどうである。単たんに、EU域内いきないのデータ管理かんり者しゃ、データ処理しょり者しゃ、または仲介ちゅうかいとなるウェブサイトにアクセスできるだけの場合ばあい、または、メールアドレス、その他た連絡れんらく先さき詳細しょうさい情報じょうほうにアクセスできるだけの場合ばあい、または、データ管理かんり者しゃが第三国だいさんごくに存在そんざいする場合ばあいで、その第三国だいさんごくで一般いっぱん的てきに使用しようされる言語げんごが使用しようされている場合ばあいなどについては、個人こじんデータ処理しょりの意図いとがあることを十分じゅうぶんに確認かくにんできない。本ほん規則きそくの対象たいしょうとなる個人こじんデータ処理しょりであることを明確めいかくにするには、EU域内いきないの国くにで一般いっぱん的てきに使用しようされる言語げんごまたは通貨つうかを使用しようしていること（商品しょうひんやサービスの注文ちゅうもんがその他たの言語げんごで行おこなわれる可能かのう性せいがある場合ばあいも含ふくむ）、または、EU域内いきないの顧客こきゃくまたはユーザに言及げんきゅうしていることなどの要素ようそが採用さいようされうる（備考びこう (Recital) 23）。

次つぎに、データ主体しゅたいの行動こうどうのモニタリングに関かんする処理しょりについて、本ほん規則きそくの対象たいしょうとなる個人こじんデータ処理しょりとは、その行動こうどうがEU域内いきないで発生はっせいする限かぎりにおいてである。データ処理しょり活動かつどうがデータ主体しゅたいの行動こうどうのモニタリングとみなされるためには、個人こじんをインターネット上じょうで追跡ついせきした後のち、その個人こじんデータをデータ主体しゅたいについての意思いし決定けっていをするため、または、個人こじんの嗜好しこう、行動こうどう、態度たいどの分析ぶんせきや予測よそくをするために、その個人こじんデータに対たいしてプロファイリングを行おこなう処理しょり技術ぎじゅつを利用りようすることが含ふくまれる（備考びこう (Recital) 24）。

本ほん規則きそくの対象たいしょうにEU域内いきないの被ひ雇用こよう者しゃの個人こじんデータ処理しょりが含ふくまれている理由りゆうは（備考びこう (Recital) 155、第だい88条じょう）、後者こうしゃの行動こうどうモニタリングに関かんする処理しょりについての定さだめがあるためである。つまり、前者ぜんしゃのEU域内いきないの自然人しぜんじんに対たいする商品しょうひんまたはサービスの提供ていきょうを行おこなっていない組織そしきであっても、EU域内いきないに従業じゅうぎょう員いんが存在そんざいし、その人事じんじ評価ひょうか等とうを第三国だいさんごくで行おこなっている場合ばあいには、人事じんじ管理かんり等とうの個人こじんデータ処理しょりについて本ほん規則きそくの適用てきようを受うける^[6]。

単一たんいつの規則きそく群ぐんは全ぜんEU加盟かめい国こくに適用てきようされる。各かく加盟かめい国こくは、申もうし立たてに対たいする調査ちょうさ、違反いはん者しゃの処罰しょばつ等とうを行おこなう独立どくりつした監督かんとく機関きかんを設置せっちする。EU加盟かめい各国かっこくの同どう監督かんとく機関きかんは、他国たこくの監督かんとく機関きかんと協力きょうりょくすることで、相互そうご支援しえんおよび共同きょうどう施行しこうを行おこなう。事業じぎょう者しゃがEU域内いきないに複数ふくすうの拠点きょてんを持もつ場合ばあい、"主要しゅよう拠点きょてん"（つまり、主要しゅような処理しょり業務ぎょうむが行おこなわれる拠点きょてん）の場所ばしょにもとづいて、一ひとつの監督かんとく機関きかんを"主要しゅよう監督かんとく局きょく"とする。主要しゅよう監督かんとく局きょくはワンストップショップとして活動かつどうし、事業じぎょう者しゃのEU域内いきないにわたる全すべての処理しょり業務ぎょうむを監督かんとくする（第だい46-55条じょう）。

欧州おうしゅうデータ保護ほご会議かいぎ（英語えいご版ばん） (European Data Protection Board、略称りゃくしょう: EDPB) が各かく加盟かめい国こくの独立どくりつした監督かんとく機関きかんの調整ちょうせいを行おこない、欧州おうしゅう連合れんごう全体ぜんたいにおいて一貫いっかんしたデータ保護ほご規則きそくの適用てきようを維持いじ、推進すいしんする。この欧州おうしゅうデータ保護ほご会議かいぎ (EDPB) の設置せっちにより、旧きゅうデータ保護ほご指令しれいの第だい29条じょうに規定きていされている作業さぎょう部会ぶかいが廃止はいしとなる。^[7]

雇用こようの文脈ぶんみゃくで処理しょりされるデータ、および、国家こっか安全あんぜん保障ほしょうのために処理しょりされるデータについては例外れいがいがあるが、依然いぜんとして各国かっこくの規制きせいの対象たいしょうとなる（第だい2条じょう(2)(a)、第だい82条じょう）。

通知つうちは従来じゅうらい通どおり必要ひつようで、その範囲はんいが拡大かくだいされている。通知つうちには、個人こじんデータの保持ほじ期間きかん、および、データ管理かんり者しゃとデータ保護ほご最高さいこう責任せきにん者しゃの連絡れんらく先さき情報じょうほうを含ふくまなければならない。

個人こじんに関かんする自動じどう化かされた意思いし決定けっていは、プロファイリング（第だい22条じょう）を含ふくめ、係争けいそうの対象たいしょうとなりうる。市民しみんは今回こんかいの規則きそくによって、純粋じゅんすいなアルゴリズムによる意思いし決定けっていに対たいしても疑義ぎぎを唱となえ、争あらそう権利けんりを持もつようになる。

GDPRの遵守じゅんしゅを示しめせるようにするため、データ管理かんり者しゃは設計せっけい段階だんかいおよび初期しょき状態じょうたいで、データ保護ほごの原則げんそくを満みたす施策しさくを実装じっそうしなければならない。設計せっけいおよび初期しょき状態じょうたいによるプライバシーの条項じょうこう（第だい25条じょう）は、製品せいひんおよびサービスの業務ぎょうむプロセス開発かいはつに、設計せっけい段階だんかいでデータ保護ほご施策しさくを組くみ込こむよう要求ようきゅうしている。そのような施策しさくには、データ管理かんり者しゃが個人こじんデータを可能かのうな限かぎり速すみやかに仮名かめい化かする施策しさくが含ふくまれている。（GDPR 備考びこう (Recital) 78）

データ管理かんり者しゃの責任せきにんと義務ぎむは、データ処理しょり業者ぎょうしゃがデータ管理かんり者しゃの代理だいりでデータ処理しょりを行おこなう場合ばあいであっても、実効じっこう性せいのある施策しさくを実装じっそうし、データ処理しょり業務ぎょうむが規則きそくを遵守じゅんしゅしていることを示しめせるようにすることである。（GDPR 備考びこう (Recital) 74）

データ主体しゅたいの権利けんりおよび自由じゆうに対たいして、特定とくていのリスクが発生はっせいする場合ばあいは、データ保護ほご影響えいきょう評価ひょうか（第だい35条じょう）を実施じっししなければならない。リスク評価ひょうかおよびリスク低減ていげんを実施じっしする必要ひつようがあり、高たかいリスクについてはデータ保護ほご当局とうきょく (DPA) の事前じぜん承認しょうにんが必要ひつようとなる。データ保護ほご最高さいこう責任せきにん者しゃ（第だい37～39条じょう）が、組織そしき内部ないぶの規則きそく遵守じゅんしゅを確保かくほする。

データ保護ほご最高さいこう責任せきにん者しゃは以下いかの場合ばあいに指名しめいしなければならない^[8]。

• 全すべての公的こうてき機関きかん、ただし司法しほう能力のうりょくにもとづいて活動かつどうする裁判所さいばんしょを除のぞく。
• データ管理かんり者しゃ、または、データ処理しょり者しゃの主おもな活動かつどうが以下いかの活動かつどうからなる場合ばあい
  • データ処理しょりの業務ぎょうむが、その性質せいしつ、範囲はんい、目的もくてきにかんがみて、データ主体しゅたいの規則きそくに基もとづきかつ体系たいけい的てきで、大だい規模きぼな監視かんしを要求ようきゅうする場合ばあい
  • 第だい9条じょうに準じゅんじる特定とくていの種類しゅるいのデータを大だい規模きぼに処理しょりする場合ばあい、および、犯罪はんざい歴れきおよび第だい10条じょうに規定きていする犯罪はんざいに関かんする個人こじんデータを処理しょりする場合ばあい

データの収集しゅうしゅうおよび利用りよう目的もくてき（第だい7条じょう、第だい4条じょうの規定きてい）について、有効ゆうこうな同意どういが明示めいじ的てきに行おこなわれなければならない。児童じどうに対たいする同意どういは児童じどうの親おや、または、保護ほご者しゃが与あたえ、確認かくにんしなければならない。データ管理かんり者しゃは"同意どうい"（オプトイン）を証明しょうめいできる必要ひつようがあり、その同意どういは取とり消けされうる^[9]。

裁判所さいばんしょ、または、独立どくりつした司法しほう当局とうきょくが司法しほう能力のうりょくにもとづいて活動かつどうする場合ばあいを除のぞき、公的こうてき機関きかんがデータ処理しょりを行おこなう場合ばあい、または、民間みんかん部門ぶもんにおいて、データ主体しゅたいの規則きそくに基もとづきかつ体系たいけい的てきな監視かんしを必要ひつようとするデータ処理しょり業務ぎょうむを主要しゅような活動かつどうとするデータ管理かんり者しゃが、データ処理しょりを行おこなう場合ばあいは、データ保護ほご法ほうとその実施じっしについて専門せんもん的てきな知識ちしきをもつ人物じんぶつが、データ管理かんり者しゃまたは処理しょり者しゃが組織そしき内ないで本ほん規則きそくを遵守じゅんしゅしていることを監視かんしするよう支援しえんしなければならない。データ保護ほご最高さいこう責任せきにん者しゃ (DPO) はコンプライアンス最高さいこう責任せきにん者しゃと似にているが同おなじではない。両者りょうしゃとも、個人こじんやセンシティブなデータの保有ほゆうおよび処理しょりにまつわる、ITによる処理しょり、データ・セキュリティ（サイバー攻撃こうげきへの対処たいしょを含ふくむ）、および、事業じぎょう継続けいぞく性せいに関かんする重大じゅうだいな問題もんだいに熟達じゅくたつしていることが期待きたいされている。しかしDPOのスキルセットはデータ保護ほご法ほうに関かんする法的ほうてき遵守じゅんしゅの理解りかいを超こえる範囲はんいが要求ようきゅうされている。大だい規模きぼな組織そしき内ないでのDPOの任命にんめいは役員やくいんにとっても、関係かんけいする個人こじんにとっても困難こんなんな課題かだいとなる。組織そしきおよび企業きぎょうがDPOを任命にんめいする際さい、その対象たいしょう範囲はんいや性質せいしつに応おうじて、対処たいしょすべき企業きぎょう統治とうちおよび人的じんてき要因よういんが無数むすうに存在そんざいするためだ。加くわえて、DPOに任命にんめいされた人物じんぶつは、自身じしんを支援しえんするチームを作つくる必要ひつようがあり、それらチームメンバーが継続けいぞく的てきに能力のうりょく開発かいはつする責任せきにんを負おう。その理由りゆうは、彼かれらを雇用こようする組織そしきから独立どくりつし、事実じじつ上じょう"小型こがた監督かんとく機関きかん"となる必要ひつようがあるためだ。

データ保護ほご最高さいこう責任せきにん者しゃの職務しょくむと役割やくわりのより詳細しょうさいな内容ないようについては、2017年ねん4月がつ5日にち改訂かいていの指針ししんに記述きじゅつされている^[10]。同どう指針ししんによれば、全すべての組織そしきが行おこなっている、被ひ雇用こよう者しゃへの支払しはらいや標準ひょうじゅん的てきなIT支援しえん提供ていきょう等とうの活動かつどうは、組織そしきにとって必要ひつよう不可欠ふかけつだが、通常つうじょう、主要しゅような活動かつどうではなく付随ふずい的てきな活動かつどうとみなされる（同どう指針ししん2.1.2）。つまり、DPO任命にんめいの要件ようけんとならないとされている。

ただしEU域内いきないの一部いちぶの国くにや地域ちいきのプライバシー法制ほうせいでは、GDPRと独立どくりつにDPO任命にんめいの要件ようけんを定さだめている場合ばあいがある。例たとえばドイツは2017年ねん7月がつ5日にち、EU加盟かめい国こくで初はじめてGDPRに準拠じゅんきょして国内こくない法ほう「ドイツ連邦れんぽうデータ保護ほご法ほう」を改正かいせいしたが^[11]、同どう法ほう第だい4f節ふしは私企業しきぎょうでDPO任命にんめいが免除めんじょされる条件じょうけんを、個人こじんデータを自動じどう化かされた手段しゅだんで継続けいぞくして処理しょりする被ひ雇用こよう者しゃが最大さいだい9名めいまでの場合ばあいとしている^[12]。つまり10名めい以上いじょうの被ひ雇用こよう者しゃを有ゆうするドイツ国内こくないの私企業しきぎょうは、自動じどう処理しょりする個人こじんデータの件数けんすうや内容ないよう、目的もくてきにかかわらずDPOの任命にんめいが必須ひっすとなっている。

GDPRは仮名かめい化かについて言及げんきゅうしている。仮名かめい化かとは、個人こじんデータを処理しょりした結果けっかのデータが、追加ついか情報じょうほうの利用りようなしに特定とくていのデータ主体しゅたいと結むすびつけることができないようにする処理しょりである。仮名かめい化かの一いち例れいとして暗号あんごう化かがある。元もとのデータが分わからないように、適切てきせつな復号ふくごう鍵かぎがなければデータ処理しょりを元もとに戻もどすことができないようにする処理しょりである。GDPRはこの追加ついか情報じょうほう（復号ふくごう鍵かぎなど）が、仮名かめい化かデータと別べつに保管ほかんされることを求もとめている（備考びこう (Recital) 29）。仮名かめい化かが推奨すいしょうされているのは、関係かんけいするデータ主体しゅたいに与あたえるリスクを低減ていげんし、データ管理かんり者しゃおよびデータ処理しょり者しゃがデータ保護ほごの義務ぎむに適合てきごうするのを支援しえんするためである。（備考びこう (Recital) 28）

個人こじんデータが、組織そしき内ないの適切てきせつな方針ほうしんおよび施策しさくにより、データ管理かんり者しゃによって仮名かめい化かされた場合ばあいであっても、匿名とくめい化かデータ（そもそも自然人しぜんじんと無関係むかんけいなデータ、および、データ主体しゅたいを追加ついか情報じょうほうによっても特定とくていできないデータ）とは異ことなり、GDPRの管理かんりおよび罰則ばっそくの対象たいしょうとなる（備考びこう (Recital) 26）。それらの方針ほうしんおよび施策しさくは設計せっけい段階だんかいのデータ保護ほごの原則げんそく、および、初期しょき状態じょうたいのデータ保護ほごの原則げんそくに適合てきごうし、この目的もくてきを満みたすと見みなせる必要ひつようがある。施策しさくの例れいとして、可能かのうな限かぎり速すみやかにデータを仮名かめい化かすること（備考びこう (Recital) 78）、データをローカルネットワーク内ないで暗号あんごう化かすること、暗号あんごう化かされたデータと別べつに復号ふくごう鍵かぎを保管ほかんすることが含ふくまれる^[13]。

統計とうけいまたは調査ちょうさ目的もくてきを含ふくむ、匿名とくめいとみなされる情報じょうほうの処理しょりについて本ほん規則きそくは関知かんちしない。

GDPRの下した、データ管理かんり者しゃは過度かどな遅滞ちたいなく監督かんとく機関きかん (SA) に通知つうちする法的ほうてき義務ぎむを負おう。データ侵害しんがいの報告ほうこくはいかなる僅少きんしょう基準きじゅんも適用てきようされず、データ侵害しんがいから72時間じかん以内いないに監督かんとく機関きかんに報告ほうこくしなければならない（第だい33条じょう）。個人こじんは不利益ふりえきな影響えいきょうが確認かくにんされた場合ばあい通知つうちを受うけなければならない（第だい34条じょう）。加くわえて、データ処理しょり者しゃは個人こじんデータ侵害しんがいの認識にんしき後ご、過度かどな遅滞ちたいなくデータ管理かんり者しゃに通知つうちしばければならない。

ただし、データ処理しょり者しゃ、または、データ管理かんり者しゃは、匿名とくめい化かデータが侵害しんがいされた場合ばあいはデータ主体しゅたいに通知つうちしなくてもよい。特とくに、データ管理かんり者しゃが暗号あんごう化かなどの仮名かめい化か技術ぎじゅつを実装じっそうするとともに、適切てきせつな技術ぎじゅつ的てきかつ組織そしき的てきな保護ほご施策しさくを、データ侵害しんがいの影響えいきょうを受うける個人こじんデータに対たいして行いっている場合ばあい、データ主体しゅたいへの通知つうちは要求ようきゅうされない（第だい34条じょう）。

以下いかの処罰しょばつが課かされうる:

• 初回しょかいかつ意図いと的てきでない違反いはんの場合ばあいは、書面しょめんによる警告けいこく
• 規則きそくに基もとづく定期ていき的てきなデータ保護ほご監査かんさ
• 企業きぎょうの場合ばあい、10,000,000ユーロ、または、前ぜん会計かいけい期間きかんの全ぜん世界せかいの売上うりあげ高だかの2%のうち、いずれか大おおきい方ほうの過料かりょう（第だい83条じょう4項こう）
• 企業きぎょうの場合ばあい、20,000,000ユーロ、または、前ぜん会計かいけい期間きかんの全ぜん世界せかいの売上うりあげ高だかの4%のうち、いずれか大おおきい方ほうの過料かりょう（第だい83条じょう5項こうおよび6項こう）

2014年ねん3月がつ欧州おうしゅう議会ぎかいにより採択さいたくされたGDPR改正かいせい版ばんによって、忘わすれられる権利けんりは、より限定げんてい的てきな消去しょうきょ権けんによって置おき換かえられた^[14][15] 第だい17条じょうはデータ主体しゅたいが自分じぶん自身じしんに関かんする個人こじんデータの消去しょうきょを要求ようきゅうする権利けんりを定さだめている。消去しょうきょ要求ようきゅうには、第だい6条じょう1項こう（合法ごうほう性せい）違反いはんを含ふくめ多おおくの根拠こんきょがある。同どう項こうは、データ管理かんり者しゃの合法ごうほう的てきな利害りがいよりも、個人こじんデータの保護ほごを要求ようきゅうするデータ主体しゅたいの利害りがいまたは基本きほん的てきな権利けんりおよび自由じゆうが優先ゆうせんされる場合ばあいを含ふくんでいる。（Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González も参照さんしょうのこと）

個人こじんはデータ管理かんり者しゃに妨さまたげられることなく、自分じぶん自身じしんの個人こじんデータをある電子でんし処理しょりシステムから別べつのシステムに移動いどうすることができる。加くわえて、そのデータはデータ管理かんり者しゃによって構造こうぞう化かされ、一般いっぱんに用もちいられる オープンスタンダード な電子でんし形式けいしきで提供ていきょうされなければならない。データ可か搬性の権利けんりはGDPRの第だい20条じょうで定さだめられている^[16]。法律ほうりつの専門せんもん家かはこの施策しさくの最終さいしゅう版ばんについて、「第だい18条じょうに規定きていされている二ふたつのデータ管理かんり者しゃ間あいだのデータ可か搬性の範囲はんいを超こえる」べく新あらたに作成さくせいされた「新あたらしい権利けんり」とみなしている^[17]。（最終さいしゅう版ばんでは条じょう番号ばんごうが第だい20条じょうに変更へんこうされていることに注意ちゅうい。引用いんようの条じょう番号ばんごうは当時とうじのもの）

設計せっけい段階だんかいおよび初期しょき状態じょうたいにおけるプライバシー（第だい25条じょう）は製品せいひんやサービスの業務ぎょうむプロセスの開発かいはつに、設計せっけい段階だんかいでデータ保護ほごが組くみ込こまれることを要求ようきゅうしている。これはプライバシー設定せっていが初期しょき状態じょうたいで高水準こうすいじゅんに設定せっていされていることを要求ようきゅうしており、データ管理かんり者しゃが、データ処理しょりのライフサイクル全体ぜんたいを通つうじて、技術ぎじゅつ的てきおよび手続てつづき上じょうの対策たいさくが規則きそくを確実かくじつに遵守じゅんしゅするよう留意りゅういすることを要求ようきゅうしている。また、データ管理かんり者しゃは、個人こじんデータが特定とくていされた各かく目的もくてきに必要ひつような場合ばあいのみ処理しょりされることを確保かくほするため、機械きかい的てきな仕組しくみを実装じっそうしなければならない。

ENISA（欧州おうしゅうネットワーク・情報じょうほうセキュリティ機関きかん）の報告ほうこく書しょは、初期しょき状態じょうたいでのプライバシーおよびデータ保護ほごを達成たっせいするために実施じっしが必要ひつようなことを詳述しょうじゅつしている。暗号あんごう化かと復号ふくごうの処理しょりは、遠隔えんかくサービスではなく、ローカルネットワークで行おこなわれる必要ひつようがあるとしている。その理由りゆうは、いかなるプライバシーを達成たっせいする場合ばあいも、暗号あんごう鍵かぎとデータの両方りょうほうがデータ所有しょゆう者しゃの権限けんげん下かになければならないためである。また同どう報告ほうこく書しょは、クラウドサービス業者ぎょうしゃではなくデータ所有しょゆう者しゃが復号ふくごう鍵かぎを保管ほかんする限かぎりにおいて、遠隔えんかくのクラウド上じょうのデータ記憶きおく装置そうちへアウトソースすることが、現実げんじつ的てき、かつ、比較的ひかくてき安全あんぜんだとしている。

1995年ねん10月がつにルクセンブルクで採択さいたくされたデータ保護ほご指令しれい（EU指令しれい95/46/EC）に準拠じゅんきょし、加盟かめい各国かっこくは国くに別べつの法制ほうせい化か並ならびに監督かんとく機関きかんの設立せつりつ等とうを行おこなっていた。この旧きゅうデータ保護ほご指令しれいをベースとして、EU加盟かめい国こくに対たいして一律いちりつに直接ちょくせつ効力こうりょくを持もつEU一般いっぱんデータ保護ほご規則きそく（GDPR）が提案ていあんされた。GDPRの提案ていあん^[18] は2012年ねん1月がつ25日にちに公開こうかいされ、EU理事りじ会かいは2016年ねん初はじめに正式せいしきな採択さいたくを目指めざした^[19]。

適用てきようまで以下いかの通とおり。

• 2013年ねん12月21日にち: 欧州おうしゅう議会ぎかい人権じんけん、司法しほうおよび内政ないせいに関かんする委員いいん会かい (LIBE) による方向ほうこうづけ投票とうひょう。
• 2015年ねん12月15日にち: 欧州おうしゅう議会ぎかい、欧州おうしゅう理事りじ会かいおよび欧州おうしゅう委員いいん会かい（三さん者しゃ委員いいん会かい）の交渉こうしょうによる共同きょうどう提案ていあん。
• 2015年ねん12月17日にち: 欧州おうしゅう議会ぎかいLIBEの投票とうひょう結果けっかが三さん者しゃ委員いいん会かいの交渉こうしょう結果けっかを支持しじ。
• 2016年ねん4月がつ8日にち: 欧州おうしゅう理事りじ会かいの採択さいたく^[20]。
• 2016年ねん4月がつ14日にち: 欧州おうしゅう議会ぎかいによる採択さいたく^[21]。
• 2016年ねん5月がつ4日にち発行はっこうのEU官報かんぽう掲載けいさい20日にち後ごに規則きそく発効はっこう^[22]。この二に年ねん後ごにEU全ぜん加盟かめい国こくに対たいし規定きていを直接ちょくせつ適用てきよう。
• 2018年ねん5月がつ25日にち適用てきよう開始かいし。

新しん規則きそくの提議ていぎは数すう多おおくの議論ぎろんと論争ろんそうを起おこし、数すう千せん項目こうもくの修正しゅうせいが提案ていあんされた^[23]。単一たんいつの規則きそく群ぐんと事務じむ的てき要求ようきゅうの除外じょがいは費用ひよう削減さくげんを意図いとしていた。しかし研究けんきゅう者しゃは以下いかの課題かだいを指摘してきしている。

• データ保護ほご最高さいこう責任せきにん者しゃ (DPO) の任命にんめい要求ようきゅうは、多おおくのEU加盟かめい国こくによって新規しんきのもので、一部いちぶからは事務じむ的てきな負担ふたんが批判ひはんされている。
• GDPRがソーシャル・ネットワークおよびクラウド事業じぎょう者しゃに焦点しょうてんを当あてて作成さくせいされているが、被ひ雇用こよう者しゃのデータの処理しょりに対たいする要求ようきゅうについては十分じゅうぶんに考慮こうりょしていない^[24]。
• データ可か搬性 はデータ保護ほごの重要じゅうような側面そくめんとはみなせず、むしろソーシャル・ネットワークおよびクラウド事業じぎょう者しゃの機能きのう要件ようけんである。
• データ保護ほご当局とうきょく (DPA) の言語げんごおよびスタッフ採用さいよう上じょうの課題かだい:
  • 非ひ欧州おうしゅう企業きぎょうは英語えいごを理由りゆうに、英国えいこく/アイルランドのDPAを選えらぶ。それによって両国りょうこくは非常ひじょうに大おおきな人的じんてき資源しげんを要求ようきゅうされる。
  • 欧州おうしゅう連合れんごう (EU) 市民しみんは問とい合あわせ窓口まどぐちとして、もはや単一たんいつのDPAではなく、関係かんけいする企業きぎょうが選えらんだ複数ふくすうのDPAと関かかわる必要ひつようが出でてくる。外国がいこく語ごに起因きいんする意思いし疎通そつうの問題もんだいも予想よそうされる。
• 新あたらしい規制きせいがそれ以外いがいの非ひ欧州おうしゅう法ほう、規制きせいおよび慣行かんこうと対立たいりつする（例れい、政府せいふによる監視かんし）。そのような国くにの企業きぎょうはもはやEUの個人こじんデータ処理しょりに適てきするとみなされない。EU-米国べいこくのプライバシーシールドを参照さんしょう。
• 最大さいだいの課題かだいはGDPRの実際じっさいの実施じっしにある:
  • EUのGDPRは規則きそくが発効はっこうする前まえに同等どうとう水準すいじゅんのプライバシー保護ほごを実施じっししていない企業きぎょうの事業じぎょうに包括ほうかつ的てきな課題かだい解決かいけつを要求ようきゅうする（特とくにEUの個人こじんデータを取とり扱あつかう非ひEU企業きぎょう）。
  • 現時点げんじてんでもすでにプライバシーの専門せんもん家かと知識ちしきが不足ふそくしており、新あらたな要求ようきゅうは事態じたいを悪化あっかさせる可能かのう性せいがある。したがってデータ保護ほごおよびプライバシーの教育きょういくがGDPR成功せいこうの重要じゅうような要素ようそとなる。
  • 欧州おうしゅう委員いいん会かいおよびデータ保護ほご当局とうきょく (DPA) は、欧州おうしゅうの全ぜんデータ保護ほご当局とうきょくに、単一たんいつのデータ保護ほご水準すいじゅんの実施じっしを強制きょうせいするため、十分じゅうぶんな資源しげんと権力けんりょくを持もつ必要ひつようがある。なぜなら規則きそくの様々さまざまな解釈かいしゃくによってプライバシー水準すいじゅんも様々さまざまになる可能かのう性せいがあるため。
  • 欧州おうしゅうの国際こくさい貿易ぼうえき政策せいさくがGDPRとまだ一致いっちしていない^[25]。

データ保護ほご指令しれい (Directive 95/46/EC) 第だい29条じょうに規定きていされている作業さぎょう部会ぶかいが、GDPR発効はっこうにより廃止はいしされるまで、GDPRの各かくトピックについてパブリックコメントを募集ぼしゅうした上うえで順次じゅんじガイドラインを公開こうかいしている^[26]。採択さいたく済ずみのガイドラインには以下いかのものがあり、規則きそくの条文じょうぶんとあわせて参照さんしょうする必要ひつようがある。

• データ保護ほご影響えいきょう調査ちょうさに関かんするガイドライン（2017/10/13採択さいたく）^[27]
• データ可か搬性の権利けんりに関かんするガイドライン（2017/10/27採択さいたく）^[28]
• データ保護ほご最高さいこう責任せきにん者しゃに関かんするガイドライン（2017/10/30採択さいたく）^[29]
• 主要しゅよう監督かんとく局きょくに関かんするガイドライン（2017/10/31採択さいたく）^[30]
• 過料かりょうの適用てきようと設定せっていに関かんするガイドライン（2018/02/13採択さいたく）^[31]
• 規則きそくの下したでの個人こじんデータ侵害しんがい通知つうちに関かんするガイドライン（2018/02/13採択さいたく）^[32]
• 規則きそくの目的もくてきのための自動じどう化かされた意思いし決定けっていおよびプロファイリングに関かんするガイドライン（2018/02/13採択さいたく）^[33]
• 透明とうめい性せいに関かんするガイドライン（2018/04/13採択さいたく）^[34]
• 規則きそくの下したでの合意ごういに関かんするガイドライン（2018/04/16採択さいたく）^[35]

第だい29条じょう作業さぎょう部会ぶかいが欧州おうしゅうデータ保護ほご会議かいぎ（European Data Protection Board）へ改組かいそされた後のちに公開こうかいされたガイドラインは以下いかのとおり。

• 規則きそくの下したでの第だい49条じょうの例外れいがいに関かんするガイドライン（2018/05/25採択さいたく）^[36]

2018年ねん5月がつ25日にち施行しこう後ご、以下いかのような係争けいそうが起おこっている。

• 2018年ねん5月がつ25日にち、欧州おうしゅうのデータ保護ほご非ひ営利えいり団体だんたいnoybが、米べいFacebookとその傘下さんかのWhatsApp、Instagram、および米こめGoogleをGDPR侵害しんがいで提訴ていそ。新しんプライバシーポリシーへの同意どういができないユーザーにサービスの利用りようを禁止きんししたことが理由りゆう。サービス提供ていきょうに必要ひつよう不可欠ふかけつな個人こじんデータの提供ていきょうさえ同意どういすればサービスを利用りよう可能かのうにするよう求もとめている^[37]。
• 2018年ねん5月がつ25日にち、ICANNがドイツの認定にんていレジストラEPAGに対たいしてドイツのボン地方裁判所ちほうさいばんしょに差止さしどめ請求せいきゅう。EPAGがGDPRに抵触ていしょくするのを避さけるためにWHOIS情報じょうほうのうち管理かんり者しゃ、技術ぎじゅつ連絡れんらく担当たんとう者しゃの情報じょうほうを収集しゅうしゅうしない旨むねICANNに連絡れんらくしてきたが、これがICANNがGDPR施行しこう前まえにGDPRに適合てきごうするために承認しょうにんしたWHOIS登録とうろくデータ管理かんりの暫定ざんてい仕様しよう書しょと異ことなるため。2018年ねん5月がつ29日にち、ボン地方裁判所ちほうさいばんしょはICANNの差止さしどめ請求せいきゅうを却下きゃっか、ICANNのWHOISデータ利用りよう目的もくてきである、犯罪はんざい行為こうい、権利けんり侵害しんがい、セキュリティ問題もんだいなどの不正ふせい行為こういからの保護ほごの目的もくてきを満みたすには、WHOIS情報じょうほうのうち登録とうろく者しゃ情報じょうほうだけで十じゅう分ふんとしてEPAGの判断はんだんを支持しじした^[38]。

EU域外いきがいの企業きぎょうが当局とうきょくと対応たいおうする代表だいひょう者しゃを置おいていない場合ばあい、問題もんだいを追及ついきゅうすることが出来できないという判断はんだんが下くだされており、EU域外いきがいへの適用てきようには限界げんかいがある^[39]。

個人こじんデータ移転いてんが例外れいがい的てきに適法てきほうとなる十分じゅうぶん性せい認定にんていについて、日本にっぽんの個人こじん情報じょうほう保護ほご委員いいん会かいと欧州おうしゅう連合れんごうは、2017年ねんから具体ぐたい的てきな協議きょうぎを始はじめている。2017年ねん7月がつ3日にち^[40]、2017年ねん12月14日にち^[41] の共同きょうどう声明せいめいではそれぞれ「2018年ねんの早はやい時期じき」「2018年ねんのできるだけ早はやい時期じき」と努力どりょく目標もくひょうが明記めいきされていたが、GDPR施行しこう後ごの2018年ねん5月がつ31日にちの共同きょうどう声明せいめいでは具体ぐたい的てきな時期じきの記述きじゅつの代かわりに、パブリックコメントを経へて、個人こじん情報じょうほう保護ほご委員いいん会かいが採択さいたくするガイドライン、および、個人こじん情報じょうほう保護ほごの基本きほんポリシーの閣議かくぎ決定けっていの2つの手続てつづきが、両者りょうしゃの差さを埋うめるための解決かいけつ方法ほうほうとして明記めいきされている^[42]。

2018年ねん5月がつ31日にち、ヨウロバー欧州おうしゅう委員いいん会かい委員いいんは東京とうきょうでのスピーチで^[43]、「スピードより質しつが重要じゅうようです」「私わたしたちの前まえにはまだいくつかの作業さぎょうがあります」と発言はつげん、さらに2018年ねん5月がつ18日にちデンマークで開催かいさいされた個人こじんデータ保護ほごに関かんする欧州おうしゅう評議ひょうぎ会かい条約じょうやく108号ごう現代げんだい化か会議かいぎで^[44] 日本にっぽんがオブザーバー参加さんかにとどまったことに触ふれ（アメリカ合衆国あめりかがっしゅうこく、カナダ、メキシコ、バチカン市し国こく、日本にっぽんがオブザーバー参加さんか）^[45]、こうした取とり組くみへの正規せいきメンバーとしての参加さんかがEUと日本にっぽんの「データ保護ほご体系たいけいを収斂しゅうれんさせるための一いち歩ほになる」と述のべ、「アジア地域ちいきにおけるプライバシーへのコミットメントを確実かくじつにすること」を求もとめている。

2018年ねん7月がつ17日にち、個人こじん情報じょうほう保護ほご委員いいん会かいと欧州おうしゅう委員いいん会かいが日ひEU間あいだの個人こじんデータ移転いてんについて最終さいしゅう合意ごういに至いたり、2018年ねん秋あきまでに日ひEU間あいだの相互そうごの円滑えんかつな個人こじんデータ移転いてんの枠組わくぐみが運用うんよう可能かのうとなるために必要ひつような国内こくない手続てつづきを完了かんりょうさせることにコミットすると発表はっぴょうした^[46][47]。EUが第三国だいさんごくとデータ保護ほごの十分じゅうぶん性せい水準すいじゅんについて「相互そうご的てき」な認定にんていを合意ごういするのは日本にっぽんが初はじめての事例じれいである^[48]。

2018年ねん9月がつ5日にち、欧州おうしゅう委員いいん会かいが日本にっぽんに対たいする十分じゅうぶん性せい認定にんてい手続てつづきを正式せいしきに開始かいしすることを閣議かくぎ決定けっていした^[49][50][51]。

2018年ねん9月がつ26日にち、上記じょうき閣議かくぎ決定けっていを受うけて欧州おうしゅうデータ保護ほご会議かいぎが第だい三さん回かい総会そうかいで、欧州おうしゅう委員いいん会かいへの意見いけん提出ていしゅつのため日本にっぽんの十分じゅうぶん性せい認定にんてい草案そうあん^[52] 全体ぜんたいのレビューを開始かいしした^[53]。

欧州おうしゅう委員いいん会かいは2018年ねん7月がつ17日にちの十分じゅうぶん性せい認定にんてい最終さいしゅう合意ごういと同時どうじに下記かきのような内容ないようのQ&A形式けいしきの概要がいよう報告ほうこく（ファクトシート）を公開こうかいしている。^[48]

• 十分じゅうぶん性せいは第三国だいさんごくのデータ保護ほご体系たいけいがEUと同一どういつであることを求もとめておらず、「本質ほんしつ的てきな等価とうか性せい」基準きじゅんによる。
• 日本にっぽんの十分じゅうぶん性せいを認みとめたのは日本にっぽんが移転いてんされた欧州おうしゅう個人こじんデータに適用てきようする予定よていの一連いちれんの追加ついか安全あんぜん措置そちによるもので、その安全あんぜん措置そちが両者りょうしゃのデータ保護ほご体系たいけいのいくつかの差異さいを埋うめることによる。その安全あんぜん措置そちは例たとえば以下いかのようなものである。
  • 日本にっぽんがセンシティブデータの定義ていぎを拡張かくちょうすること。
  • 個人こじんの権利けんり行使こうしを容易よういにすること。
  • 日本にっぽんから他たの第三国だいさんごくへの欧州おうしゅう個人こじんデータ移転いてんに、より高たかい保護ほごを課かすること。
  • 日本にっぽんのデータ保護ほご機関きかん（個人こじん情報じょうほう保護ほご委員いいん会かい）の監督かんとく下かで苦情くじょうの取扱とりあつかいと解決かいけつを行おこなうシステムを日本にっぽん国内こくないに設置せっちし、欧州おうしゅうの個人こじんが自分じぶんの個人こじんデータへのアクセスについて苦情くじょうを申もうし立たてた場合ばあい、日本にっぽん国内こくない法ほうの執行しっこうと日本にっぽん国内こくないの情報じょうほうセキュリティ機関きかんにより有効ゆうこうな調査ちょうさ、解決かいけつを行おこなうと日本にっぽんが合意ごういしたこと。
• 十分じゅうぶん性せいの決定けっていについて採択さいたくの2年ねん後ごに欧州おうしゅう委員いいん会かいが最初さいしょのレビューを、その後ごは4年ねんごとにレビューを行おこなう。

十分じゅうぶん性せい認定にんていの後のちもGDPRと日本にっぽん国内こくない法ほうの個人こじんデータ保護ほご水準すいじゅんが異ことなるため、日にち欧おう間あいだの個人こじんデータの移転いてんについてさまざまな課題かだいが残のこる。

• 個人こじん情報じょうほう保護ほご委員いいん会かいは十分じゅうぶん性せい認定にんていを得えるために「個人こじん情報じょうほうの保護ほごに関かんする法律ほうりつについてのガイドライン（EU域内いきないから十じゅう分ふん性せい認定にんていにより移転いてんを受うけた個人こじんデータの取扱とりあつかい編へん）」をパブリックコメントを経へて^[54] 定さだめるが、既存きそんの個人こじん情報じょうほう保護ほご法ほうに対たいして追加ついかの取扱とりあつかいが必要ひつような個人こじん情報じょうほうを「EU域内いきないから十じゅう分ふん性せい認定にんていに基もとづき提供ていきょうを受うけた個人こじんデータ」に限定げんていしている。

他方たほう、GDPRが対象たいしょうとする個人こじんデータは国籍こくせきを問とわないため、結果けっかとして同おなじ日本にっぽん国民こくみんでも欧州おうしゅうにいる方ほうがより高たかい水準すいじゅんの保護ほごを受うけることになる。例たとえば同どうガイドラインではEU域内いきないからの移転いてん個人こじんデータについてのみ「性せい生活せいかつ、性的せいてき指向しこう又または労働ろうどう組合くみあいに関かんする情報じょうほうが含ふくまれる場合ばあい」は要よう配慮はいりょ個人こじん情報じょうほうと同様どうようの取扱とりあつかいとするとあるが、日本にっぽん国内こくないにいる日本人にっぽんじんにこの追加ついかの取扱とりあつかいは適用てきようされない。

• 最終さいしゅう合意ごういされた十分じゅうぶん性せい認定にんていは「相互そうご的てき」であるが^[48]、日本にっぽんの個人こじん情報じょうほう保護ほご法ほうおよび追加ついかガイドラインにはGDPRの最もっとも重要じゅうような規定きていの一ひとつである「データ主体しゅたいはいつでも同意どういを撤回てっかいできる」「同意どういの撤回てっかいは同意どういを与あたえるのと同どう程度ていどに容易よういでなければならない」（第だい7条じょう第だい3項こう）という定さだめがない。

そのため日本にっぽん在住ざいじゅうの日本にっぽん国民こくみんは個人こじんデータが欧州おうしゅうにいったん移転いてんされると、同意どういの撤回てっかいという方法ほうほうで管理かんり、処理しょりを停止ていしさせることができない。他方たほう、欧州おうしゅう在住ざいじゅうの日本にっぽん国民こくみんは自身じしんの個人こじんデータが日本にっぽんに移転いてんされた後のちもいつでも同意どういの撤回てっかいによって管理かんり、処理しょりを停止ていしさせることができる。これは「相互そうご的てき」十分じゅうぶん性せい認定にんていにより欧州おうしゅう企業きぎょうが日にち欧おう相互そうごの個人こじんデータの管理かんり、処理しょりについて日本にっぽん企業きぎょうより有利ゆうりになる可能かのう性せいを意味いみする。

• 個人こじん情報じょうほう保護ほご委員いいん会かいは2018年ねん8月がつ24日にち、欧州おうしゅうより十分じゅうぶん性せい認定にんていを受うけるために必要ひつようとされていた「個人こじん情報じょうほうの保護ほごに関かんする法律ほうりつに係かかるEU域内いきないから十じゅう分ふん性せい認定にんていにより移転いてんを受うけた個人こじんデータの取扱とりあつかいに関かんする補完ほかん的てきルール」を正式せいしきに公開こうかいした^[55]。公開こうかいにあたり意見いけん募集ぼしゅう結果けっかとして寄よせられた意見いけんに対たいする回答かいとう一覧いちらんも公開こうかいしている^[56]。この中なかで「補完ほかん的てきルール」の適用てきよう範囲はんいは「EU域内いきないから十じゅう分ふん性せい認定にんていに基もとづき日本にっぽん国内こくないに移転いてんした個人こじんに関かんする情報じょうほうの取扱とりあつかい」に限定げんていされることがくり返がえし書かかれているが、そもそもどのような場合ばあいがEU域内いきないから移転いてんされた場合ばあいに該当がいとうするのかについては、「当とう委員いいん会かいは、EUのGDPRの各種かくしゅ規定きていに関かんする解釈かいしゃく権限けんげんを有ゆうしていないため、GDPRの解釈かいしゃくについての回答かいとうは差さし控ひかえさせていただきます」としている（意見いけん24番ばん）。つまり「補完ほかん的てきルール」の適用てきよう範囲はんい自体じたいの解釈かいしゃくを欧州おうしゅう側がわにゆだねており、日本にっぽんでGDPR適用てきようを受うける個人こじんまたは組織そしきに対たいして十じゅう分ふん性せい認定にんていがどの範囲はんいでどう影響えいきょうするのか不ふ明確めいかくなままである。また十分じゅうぶん性せい認定にんていの「相互そうご性せい」についての解釈かいしゃくも存在そんざいしない。

十分じゅうぶん性せい認定にんていの最終さいしゅう合意ごういはなされたものの、その後ご欧州おうしゅう側がわの内部ないぶ手続てつづきで欧州おうしゅうデータ保護ほご会議かいぎが2018年ねん12月5日にちに採択さいたくした意見いけん書しょ^[57] が非常ひじょうに厳きびしい内容ないようだったため、欧州おうしゅう議会ぎかいは2018年ねん12月13日にち、欧州おうしゅう委員いいん会かいにさらなる証拠しょうこの提出ていしゅつと説明せつめいを求もとめる文書ぶんしょを採択さいたくした^[58]。この文書ぶんしょは「補完ほかん的てきルール」だけでなく個人こじん情報じょうほうの保護ほごに関かんする法律ほうりつ（以下いか「個人こじん情報じょうほう保護ほご法ほう」）自体じたいも問題もんだいにしており、以下いかのような点てんを指摘してきしている。

• 個人こじん情報じょうほう保護ほご法ほうの「個人こじん情報じょうほうデータベース等とう」の規定きていに「利用りよう方法ほうほうからみて個人こじんの権利けんり利益りえきを害がいするおそれが少すくないものとして政令せいれいで定さだめるものを除のぞく」とあるが、この被害ひがい基準きじゅんの除外じょがい規定きていがEUのアプローチと一致いっちしないおそれがある。
• 個人こじん情報じょうほう保護ほご法ほうの「個人こじんデータ」は「個人こじん情報じょうほう」の定義ていぎに基もとづくより狭せまい定義ていぎであり、十分じゅうぶん性せい認定にんてい草案そうあんはGDPRの「個人こじんデータ」は常つねに個人こじん情報じょうほう保護ほご法ほうの「個人こじんデータ」に含ふくまれるとあるが、法ほう執行しっこう上じょうの実効じっこう性せいを確認かくにんする必要ひつようがある。
• 個人こじん情報じょうほう保護ほご法ほうと個人こじん情報じょうほう保護ほご委員いいん会かいガイドラインのいずれも、例たとえばフェイスブック、ケンブリッジ・アナリティカのプロファイリング事例じれいのような、自動じどう化かされた意思いし決定けっていとプロファイリングに対たいして、個人こじんの権利けんりを保護ほごする包括ほうかつ的てきな法的ほうてき枠組わくぐみを持もっていない。
• 個人こじん情報じょうほう保護ほご法ほうにダイレクトマーケティングに特とく化かした条項じょうこうが存在そんざいしない。
• 個人こじん情報じょうほう保護ほご法ほうと補完ほかん的てきルールの組合くみあわせがAPEC越境えっきょうプライバシーシステム（CBPRシステム）の保護ほごレベルより高たかいとしても、日本にっぽんから外国がいこくにある第三者だいさんしゃへの提供ていきょうについて、EU個人こじんデータ主体しゅたいから同意どういを得える際さいにデータ主体しゅたいに提供ていきょうする「本人ほんにんが同意どういに係かかる判断はんだんを行おこなうために必要ひつような移転いてん先さきの状況じょうきょうについての情報じょうほう」の範囲はんいが明確めいかくに定義ていぎされていない。
• 個人こじん情報じょうほう保護ほご法ほうの強制きょうせい力りょくに実効じっこう性せいを持もたせるためには罰金ばっきんの水準すいじゅんが十分じゅうぶんでないが、刑事けいじ罰ばつの規定きていもあるので、過去かこの罰金ばっきんおよび刑事けいじ罰ばつの実績じっせきについて調査ちょうさする必要ひつようがある。
• 個人こじん情報じょうほう保護ほご委員いいん会かいは警察けいさつによる個人こじんデータ処理しょり活動かつどうに対たいする監督かんとく権限けんげんを持もたず、別途べっと府県ふけん公安こうあん委員いいん会かいによる監督かんとくメカニズムがあり、情報じょうほう公開こうかい・個人こじん情報じょうほう保護ほご審査しんさ会かいも一定いっていの権限けんげんを持もつが、これらの監督かんとくに法的ほうてき強制きょうせい力りょくがない。

2019年ねん1月がつ23日にち、日本にっぽん政府せいふ、欧州おうしゅう委員いいん会かいが即日そくじつ、相互そうごの十分じゅうぶん性せい認定にんていが発効はっこうすると発表はっぴょうした^[59][60]。発効はっこう2年ねん後ごに初回しょかいの共同きょうどうレビューが行おこなわれ、欧州おうしゅうデータ保護ほご会議かいぎの代表だいひょうは法ほうの執行しっこうと国家こっか安全あんぜん保障ほしょうのための個人こじんデータへのアクセス部分ぶぶんについて参加さんかする。その後ご少すくなくとも4年ねんに1回かいレビューが行おこなわれる。

日本にっぽんに本社ほんしゃがあり明示めいじ的てきにGDPR対応たいおう、特とくに欧州おうしゅう個人こじんデータの域外いきがい移転いてん準拠じゅんきょ対応たいおうを公式こうしきサイト等とうで公開こうかいしている企業きぎょうは以下いかのとおり。

• 楽天らくてん株式会社かぶしきがいしゃ：拘束こうそく的てき企業きぎょう準則じゅんそく（Binding Corporate Rules）方式ほうしきによる企業きぎょうグループ内ない個人こじんデータ域外いきがい移転いてんにつきEUのデータ保護ほご機関きかんの正式せいしきな承認しょうにんあり^[61]
• 株式会社かぶしきがいしゃインターネットイニシアティブ：拘束こうそく的てき企業きぎょう準則じゅんそく方式ほうしきによる域外いきがい移転いてんにつき英国えいこくの監督かんとく機関きかんに承認しょうにん申請しんせい済ずみ^[62]
• 富士通ふじつう株式会社かぶしきがいしゃ：拘束こうそく的てき企業きぎょう準則じゅんそく方式ほうしきによる域外いきがい移転いてんにつきオランダの監督かんとく機関きかんに承認しょうにん申請しんせい済ずみ^[63]
• Sansan株式会社かぶしきがいしゃ：欧州おうしゅう個人こじんデータ域外いきがい移転いてんに係かかるデータ処理しょり者しゃとして標準ひょうじゅん的てき契約けいやく条項じょうこう（Standard contractual clauses、SCC）方式ほうしきでの対応たいおうを利用りよう者しゃ企業きぎょう向むけに公開こうかい^[64]
• ソフトバンク株式会社かぶしきがいしゃ：法人ほうじんサービスについてデータ処理しょり者しゃとしてSCC締結ていけつに関かんする情報じょうほうを公開こうかい^[65]
• Kii株式会社かぶしきがいしゃ：GDPR対応たいおう概要がいようとデータ管理かんり者しゃ・処理しょり者しゃ間あいだ契約けいやく合意ごういに関かんする情報じょうほう提供ていきょう^[66]

日本にっぽん貿易ぼうえき振興しんこう会かい（JETRO）が欧州おうしゅうビジネスに取とり組くむ中小ちゅうしょう企業きぎょうの実務じつむ担当たんとう者しゃ向むけとして、「EU一般いっぱんデータ保護ほご規則きそく（GDPR）に関かかわる実務じつむハンドブック」シリーズを公開こうかいしている。2018年ねん3月がつ現在げんざい「入門にゅうもん編へん」^[67]、「実践じっせん編へん」^[68]、「第だい29条じょう作業さぎょう部会ぶかいガイドライン編へん 管理かんり者しゃおよび処理しょり者しゃの主導しゅどう監督かんとく当局とうきょくの特定とくてい」^[69]、「第だい29条じょう作業さぎょう部会ぶかいガイドライン編へん データポータビリティの権利けんり」^[70]、「第だい29条じょう作業さぎょう部会ぶかいガイドライン編へん データ保護ほご責任せきにん者しゃ」^[71] が公開こうかいされている。

また、ベルギー日本人にっぽんじん会かい商工しょうこう委員いいん会かい2016年度ねんど第だい3回かいビジネスセミナーの資料しりょう「日本にっぽん企業きぎょうのベルギー子会社こがいしゃ・ベルギー支店してんが取とっておくべきEU一般いっぱんデータ保護ほご規則きそくへのコンプライアンス対応たいおう」^[72] がある。ただし、データ保護ほご指令しれい (Directive 95/46/EC) 第だい29条じょうに規定きていされている作業さぎょう部会ぶかいの最新さいしんのガイドラインは反映はんえいされておらず、これとガイドラインを合あわせて参照さんしょうする必要ひつようがある。

• 国家こっかデータ保護ほご当局とうきょく（英語えいご版ばん）

• EUR-Lex（英語えいご）
• 欧州おうしゅう委員いいん会かい「データ保護ほご」に関かんするウェブページ（英語えいご）
• 2012/0011(COD)-個人こじんデータ保護ほご: データの処理しょりおよび自由じゆうな移動いどう(一般いっぱんデータ保護ほご規則きそく) 欧州おうしゅう議会ぎかい（英語えいご）