本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

用語辞典

GDPR とは — EUの個人データ保護規則と、漏洩時の通知義務

GDPR(EU一般データ保護規則)は、EU域内の個人データを保護する包括的な法律です。誰に適用され、データ最小化・同意・漏洩時の通知義務・高額の制裁金など何が求められるのか、そして『必要な個人データしか集めない・持たない』という防御の基本を解説します。

公開日 2026-07-04 更新日 2026-07-04 4分で読める

GDPR は、EU向けにサービスを出すなら意識すべき個人データ保護の法律です。「難しい法律」と身構えがちですが、技術者が実際にやることは、集める個人データを減らし、暗号化し、認可で触れる人を絞り、漏洩を速やかに検知できるようにする——という日々の防御と地続きです。ここでは要点と、技術・運用で押さえるべき防御の基本を、攻撃手順を扱わずに整理します。

何が求められるのか

法律の細部より、防御として効く運用の柱を押さえます。

1

集めない・持たない(データ最小化)

目的に必要な最小限の個人データしか集めない・保持しない。持たないデータは漏れない——これが最も強い防御。不要になったら消す。

2

安全に守る(暗号化・アクセス制御)

個人データを暗号化し、認可で『触れてよい人だけ』に絞る。秘密は公開面の外へ(→ 公開ディレクトリに秘密を置かない)。

3

検知して通知できる(72時間ルール)

漏洩を速やかに検知し、影響を追跡できるログを持つ。原則72時間以内に当局へ通知する体制を用意する。検知の仕組みが無ければ義務も果たせない。

『無関係』とは限らない

GDPR はEU域内の人々に商品・サービスを提供したり行動を監視したりする場合、事業者がどこにあっても適用され得ます。EU向けにサービスを出している・EU利用者の個人データを扱っているなら、『日本の会社だから無関係』とは限りません。まずは自分がどの個人データをなぜ持っているかの棚卸しから始めるのが実務的です。

当サイトの視点:規制対応と防御は同じ方向を向く

GDPR の要求は、当サイトが日頃言っている防御と同じ方向を向いています。個人データを最小化し、暗号化し、認可で絞り、漏洩を検知・記録できるようにする——これは法令のためだけでなく、そもそも事故を減らすための基本です。規制を『追加の負担』ではなく『防御の再確認』として使うのが、小規模運営にとって現実的な向き合い方です。

次に読む

出典

よくある質問

QGDPR は日本の事業者にも関係しますか?
A

関係し得ます。GDPR はEU域内の人々に商品・サービスを提供したり、その行動を監視したりする場合、事業者がどこにあっても適用され得ます。EU向けにサービスを出している、EUの利用者の個人データを扱っている、といった場合は対象になり得るため、『日本の会社だから無関係』とは限りません。

QGDPR で技術的に押さえるべき要点は?
A

大きくは、①適法な根拠(同意など)を得て、目的を明確にする ②必要最小限のデータしか集めない・持たない(データ最小化) ③個人データを暗号化・アクセス制御で安全に守る ④本人の開示・削除の求めに応じられるようにする ⑤漏洩を速やかに検知し、原則72時間以内に当局へ通知できる体制を持つ、です。

Q漏洩したらどうすればよいですか?
A

GDPR では、個人データの漏洩を認識したら原則72時間以内に監督当局へ通知する義務があります(本人への通知が必要な場合も)。だからこそ、事故を『速やかに検知できる』こと、影響範囲を『追跡できる』ログがあることが前提になります。検知と記録の仕組みが無いと、通知義務すら果たせません。