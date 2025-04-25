データプライバシーは消費者にとって重要です。GDPR や、米国のカリフォルニア州消費者プライバシー法（CCPA）などの同様のデータプライバシー法は、消費者と住民のデータプライバシーの原則を実施するためにあります。GDPR を遵守していない企業には、多額の制裁金が科されます。2023 年 4 月 13 日、アイルランドのデータ保護局（DPA）は 12 億ユーロの制裁金を Meta Platforms Ireland Limited（Meta IE）に科しました。これは、標準契約条項（SCC）に基づき同社が米国への個人データの移転中に、GDPR に違反したと判断されたためです。

GDPR の直接の対象となる企業に加えて、たとえば次のような組織も GDPR を遵守しなければなりません。

EU 域内の顧客と取引のある米国企業

GDPR は域外にも適用されます。そのため、EU 域外を事業拠点とする企業であっても、EU 市民とビジネスを行う可能性があるのであれば、GDPR を遵守する必要があります。このような企業は、GDPR 評価を実施して、どのようなデータ処理活動を行っているかを確認する必要があります。その後、GDPR の要件に従ってプライバシー通知を提出する必要があります。さらに、データ保護の影響評価を実施し、どのような保護措置が必要かを判断する必要があります。こういった措置には、データ暗号化、堅牢な認証手段、組織レベルのデータ保護（ゼロトラスト・セキュリティ・アプローチの導入など）などが考えられます。これらの措置をサードパーティーサプライヤーにも適用しなければなりません。

従業員数 250 人未満の小規模組織

GDPR は小規模組織も規制の対象から除外しません。個人または慈善団体という立場の企業であっても、個人データを取り扱い、処理する場合は、GDPR 規則を遵守する必要があります。ただし、小規模組織が GDPR で通常求められるレベルのデータ取り扱いに関する文書は、データを定期的に、大量に処理する場合、データ処理が権利や自由に影響を及ぼす可能性がある、または人種、民族、生体認証データなどを明らかにする場合のみです。小規模企業は、データプライバシー要件を遵守するだけでなく、データのセキュリティを確保してデータ侵害を回避するために、堅牢な認証と暗号化を提供できるセキュリティプラットフォームを探す必要があります。