2026年版EC向けEU GDPR — クイックリード
一般データ保護規則、規則(EU)2016/679は、2018年5月25日以降EU全域で直接適用されており、今なお世界で最も重要なプライバシー法です。すべてのEU/EEA域内のEC事業者は、氏名、住所、決済データ、閲覧履歴、クッキー、IPアドレスといった買い物客の個人データについて管理者の立場にあります。2026年の優先事項は、TCF v2.2準拠のクッキーバナー、明確な第13条プライバシー通知、文書化された第30条処理活動記録、迅速なデータ主体請求(DSR)対応フロー、72時間以内の侵害対応計画、そして非十分性国への移転(特に2023年7月に採択されたEU-米国データプライバシーフレームワークに基づく米国への移転)に対するSchrems II後の標準契約条項です。監督機関——CNIL(フランス)、AEPD(スペイン)、Garante(イタリア)、BfDIおよびドイツ各州のデータ保護機関、AP(オランダ)、NAIH(ハンガリー)、ICO(イギリス、UK GDPRに基づく)——は、最大2,000万ユーロまたは世界年間売上高の4%のいずれか高い方の制裁金を科します。
2026年のEUデータ保護の全体像
GDPRは、EUレベルで欧州データ保護会議(EDPB)が調整する各国データ保護当局(DPA)のネットワークによって執行されます。以下のカードスタックは、EUのEC事業者として最も関わる可能性が高い8つの当局をまとめたものです——各詳細セクションを読む際に手元に置いておいてください。
EDPB — 欧州データ保護会議
2018年5月25日設立・ブリュッセル・拘束力のあるガイドライン、意見書を発行し、各データ保護当局間のワンストップショップ調整を担う
CNIL — Commission Nationale de l'Informatique et des Libertés(フランス)
1978年設立・パリ・EU域内で最も厳格なクッキー執行、アドテクおよびTCFの主導的当局
AEPD — Agencia Española de Protección de Datos(スペイン)
1993年設立・マドリード・制裁金件数で最も活発な国内当局、中小企業を重視した執行
Garante — Garante per la Protezione dei Dati Personali(イタリア)
1997年設立・ローマ・AI/ChatGPT、テレマーケティング、クッキーに対する積極的な執行
BfDI + 16の州データ保護機関(ドイツ)
ボンの連邦BfDI + 各州に1つの当局・分権化されており、LfDI BW、BlnBDI、HmbBfDIが最も活発
ICO — Information Commissioner's Office(イギリス)
ウィルムズロウ・UK GDPR(ブレグジット後)および2018年データ保護法を執行・十分性認定が有効
AP — Autoriteit Persoonsgegevens(オランダ)
ハーグ・オランダのデータ保護当局・クッキーウォール、AI登録簿、政府の情報漏洩に積極的
NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság(ハンガリー)
ブダペスト・ハンガリーのデータ保護当局・顔認識、監視カメラ、人事データに積極的
初日からGDPRに準拠した状態でEU全域に販売する準備はできていますか。
すべてのEUマーケットプレイスと顧客向けストアフロントを、TCF v2.2対応CMP、第30条登録簿、DSR対応フロー、すべてのサブ処理者向けの事前署名済みSCCを内蔵した単一のZunaproパネルに接続しましょう。
1. GDPR概要 — 規則(EU)2016/679、2018年5月施行
GDPRとは実際どのようなものか
一般データ保護規則——規則(EU)2016/679——は2016年4月27日に採択され、EU加盟27カ国とEEA加盟3カ国(ノルウェー、アイスランド、リヒテンシュタイン)で2018年5月25日に直接適用されるようになりました。「指令」ではなく「規則」であるため、GDPRは各国での国内法化を必要とせず、マドリード、パリ、ベルリン、ローマ、ワルシャワをはじめとするすべてのEU加盟国の首都で同日に施行されました。28の分断された国内実施を生んでいた1995年のデータ保護指令(95/46/EC)に取って代わりました。
EC事業者にとって、条文における3つの構造的選択が何よりも重要です。
- 物的適用範囲(第2条) — 自動的手段による「個人データの処理」すべてに適用され、これは実質的に現代のウェブスタックにおけるあらゆるデータベース操作を含みます。
- 地理的適用範囲(第3条) — 処理がどこで行われるかにかかわらずEU域内に設立された管理者に適用され、かつEU域外に設立されていてもEU域内のデータ主体に商品・サービスを提供する、またはその行動を監視する管理者にも適用されます。これが、米国、イギリス、トルコ、スイス、アジアの販売者を適用対象に引き込んだ「域外適用効」です。
- 個人データの定義(第4条) — 非常に広範です。「識別された、または識別可能な自然人に関する」あらゆるものが該当します。IPアドレス、クッキーID、デバイスフィンガープリント、さらには固有のURLパラメータも該当し得ます。
6つの適法性根拠(第6条)
すべての処理活動には、6つの適法性根拠のうち少なくとも1つが必要です。
- 同意 — 自由に与えられ、特定され、説明を受けた上での、不明瞭でない同意(第4条第11項+第7条)。
- 契約 — データ主体との契約を履行するために必要な処理(注文を履行する際の標準的な根拠)。
- 法的義務 — 例:VAT請求書発行、KYC、税務記録。
- 生命に関する利益 — 商業的なEC事業では稀。
- 公共の利益に係る職務 — 一般的に民間小売業には該当しない。
- 正当な利益 — 比較衡量テストが必要。不正防止、セキュリティ、基本的なアナリティクスに使用される。
2026年に最も多いコンプライアンス上の誤りは、根拠の混同です——例えば、マーケティングメール(eプライバシー指令に基づき同意が必要)に「契約」を根拠とすること、または追跡クッキー(eプライバシー指令第5条第3項に基づき同意が必要)に「正当な利益」を根拠とすることです。
特別カテゴリーのデータ(第9条)
健康データ、生体データ、人種・民族的出自、宗教的信条、労働組合への加入、性的指向、政治的意見は特別カテゴリーのデータです。第9条第2項の10の条件のいずれかが適用される場合を除き、処理は禁止されています——ECにおいて最も一般的なのは明示的な同意です(例:健康情報を明らかにするサプリメントの定期購入、希望サイズから人種・民族的出自を推測するファッションサイトなど)。
2. クッキー同意 — TCF v2.2とIAB Europeフレームワーク
そもそもなぜクッキーがGDPRの話題なのか
クッキーおよび類似の追跡技術は、GDPRのみならずeプライバシー指令2002/58/EC第5条第3項(「クッキー指令」、2009年改正)によっても規律されています。同指令は、ユーザーが要求したサービスを提供するために厳密に必要な場合を除き、ユーザーのデバイス上の情報の保存またはアクセスについて事前の、説明を受けた上での同意を求めています。GDPRはその上で、何が有効な同意に当たるかの基準を定めています(第4条第11項および第7条)。
2026年のEC事業者にとっての実務上の統合ルールは以下のとおりです。
- 厳密に必要なクッキー(カート、ログイン、CSRFトークン、言語選択、基本的な負荷分散)——同意は不要だが、プライバシーポリシーに記載する必要がある。
- それ以外のすべてのクッキー——アナリティクス(GA4、Plausible、デフォルト設定のMatomo)、広告(Meta Pixel、Google Ads、TikTok)、パーソナライゼーション、A/Bテスト、フィンガープリンティング——は、クッキーが設定される前のオプトイン同意が必要。
IAB Europe Transparency & Consent Framework v2.2
IAB Europe Transparency & Consent Framework(TCF)v2.2——2023年5月16日にリリースされ、2023年11月20日から義務化——は、EU全域でクッキー同意を取得・伝達・保持するための事実上の業界標準です。主な特徴は以下のとおりです。
- 11の目的+3つの「特別な目的」+2つの「機能」+2つの「特別な機能」——単純な「すべて同意する」ではなく、きめ細かなコントロールを実現
- 約700の登録ベンダー——すべてのアドテク、アナリティクス、CDPパートナーが、TCFグローバルベンダーリスト(GVL)で目的と法的根拠を宣言
- TC String——
__tcfapi/__tcfapi v2に埋め込まれるBase64エンコードされたシグナルで、すべてのアドテクリクエストに付随して伝達される - v2.2の強化点——目的1、3、4の明確化、広告・測定のフォールバックとしての「正当な利益」の削除、義務的な撤回フロー
同意UIがすべきこと・してはならないこと
同意に関するEDPBガイドライン05/2020とCNILガイドライン2020-091はいずれも明確です。
- あらかじめチェックされたボックスは無効(Planet49事件、欧州司法裁判所C-673/17、2019年10月1日)
- 「閲覧の継続」は同意にはならない——クリック、スクロール、ページに留まることはオプトインには当たらない
- 拒否は同意と同じくらい簡単でなければならない——「すべて同意する」と「すべて拒否する」は視覚的にも手続き上も同等でなければならない(CNILは2022年1月にGoogleに6,000万ユーロ、Facebookに6,000万ユーロの制裁金を、まさにこの点を理由に科した)
- クッキーウォール——アクセスを同意の条件とすること——は大部分が禁止されている(2019年オランダAPガイダンス、EDPBガイドライン05/2020)
- 粒度——単一のグローバルスイッチではなく、目的ごとの切り替え
- 撤回は同意を与えるのと同じくらい簡単でなければならない(GDPR第7条第3項)
2026年のベストプラクティス:第1層に「すべて同意する」/「すべて拒否する」を同等に配置し、第2層に詳細な切り替えを配置し、フッターに常設の「クッキー設定」リンクを配置した、TCF v2.2対応の同意管理プラットフォーム(CMP)です。Zunaproのストアフロントには、この構成が標準搭載されています。ZunaproのEU向けストアフロントを見る →
3. プライバシーポリシー — 第13条・第14条の実務
プライバシーポリシーが交渉の余地のない理由
GDPRの第13条・第14条は、すべての管理者に対し、個人データの収集時点(第13条)、または第三者からデータを収集する場合は1カ月以内(第14条)に、プライバシー通知を提供することを義務付けています。ECにおいては、これは通常「プライバシーポリシー」「プライバシー通知」「個人データの取扱いに関する情報」としてフッターにリンクされるページです。
必須記載事項リスト
第13条は、最低限、以下の事項を求めています——通常、簡潔な要約と完全版から成る階層型の通知として構成されます。
- 管理者の身元および連絡先(第27条が適用される場合はEU代表者も含む)
- DPOの連絡先(選任されている場合)
- 処理の目的とそれぞれの適法性根拠(第6条、特別カテゴリーのデータについては第9条)
- 受領者または受領者のカテゴリー——決済ゲートウェイ、フルフィルメントパートナー、マーケティングツール、ホスティングプロバイダー
- 国際移転——関係する第三国、十分性認定または適切な保護措置(SCC)
- 保存期間——またはその決定に用いる基準
- データ主体の権利——アクセス、訂正、消去、制限、ポータビリティ、異議申立、自動的な決定
- 同意を撤回する権利をいつでも行使できること(同意が適法性根拠である場合)
- 監督機関へ苦情を申し立てる権利
- データの提供が義務であるかどうか、および提供しない場合の結果
- 自動的な意思決定(プロファイリングを含む)の存在、およびそのロジックに関する意味のある情報
CNILとAEPDが制裁金を科す典型的な誤り
- 実際の処理活動と一致しない定型的な通知——監督機関は第30条登録簿と突き合わせて確認する
- 比較衡量テストの説明なしに「正当な利益」を挙げること
- 期間を明示せず「必要な限り」といった曖昧な保存期間
- 国際移転に関する開示の欠如または陳腐化(特にSchrems II後の米国向け移転)
- データ保護当局への苦情申立権に関する記載がないこと——AEPD監査における頻出の指摘事項
4. データ保護責任者 — 第37条が適用される場合
義務化される3つのケース
第37条第1項は、以下の3つの場合にDPOの選任を義務付けています。
- 公的機関または公的団体(裁判所を除く)
- 中核的業務がデータ主体の定期的かつ組織的な大規模な監視を必要とする場合
- 中核的業務が特別カテゴリーのデータ(第9条)または前科・犯罪に関するデータ(第10条)の大規模な処理から成る場合
「大規模」は、EDPBガイドラインWP243により、データ主体の数、データの量、処理の期間、地理的範囲の4つの基準に基づいて定義されます。ECにおいては、行動ターゲティング広告に大きく依存する事業、マーケットプレイス、大手小売プラットフォームは、ほぼ常に「定期的かつ組織的な大規模監視」の閾値を満たします。
250人という神話
よく引用される「250人」という閾値は、DPO選任ではなく第30条(処理活動記録)に関するものです。第30条第5項は、従業員250人未満の組織を記録維持義務から免除していますが、これは処理が偶発的であり、特別カテゴリーのデータを含まず、データ主体にリスクをもたらす可能性が低い場合に限られます。活発に営業しているEC事業者の場合、この免除規定は実務上ほとんど適用されません。数千人の顧客に商品を発送することは、定義上「偶発的」ではないからです。
各国による上乗せ規定
加盟国は追加のDPO要件を課すことができます。例えばドイツのBDSG(連邦データ保護法)は、自動処理に継続的に20人以上が関与する場合にDPOを要求しており、これはGDPRの基準よりもはるかに低い閾値です。これは、同規模のドイツ、フランス、スペインのEC事業間で見られる、実務上のコンプライアンスギャップの中でも特に大きなものの一つです。
DPOの独立性と職務
- 第38条——すべてのデータ保護に関する事項に関与し、必要な資源を与えられ、経営陣に直接報告し、職務遂行を理由に解任されない
- 第39条——助言・情報提供を行い、コンプライアンスを監視し、DPIAについて助言し、データ保護当局と協力し、データ主体の窓口として機能する
- 利益相反——マーケティング責任者やIT責任者は通常DPOになれない(EDPBガイドラインWP243。ベルギーのデータ保護当局は2020年、コンプライアンス・内部監査・リスク管理の責任者をDPOに任命した管理者に5万ユーロの制裁金を科した)
💡 DPO代行サービスか、社内選任か
従業員50人未満の多くのEU EC事業は、独立性を明確にするために外部のDPOを利用しています。ZunaproパネルにはDPOの連絡先フィールドがあり、データ主体からの請求をDPOの受信箱に直接振り分けます。
5. データ主体の権利 — 第15条〜第22条
8つの権利、その順序
第3章の権利は、顧客と接するあらゆる事業にとってGDPRの運用上の基盤です。
- 通知を受ける権利(第13条〜第14条)——上記のプライバシー通知によって果たされる
- アクセス権(第15条)——処理の有無の確認+個人データの写し+第13条のメタデータ
- 訂正権(第16条)——不正確なデータの訂正、不完全なデータの補完
- 消去権/「忘れられる権利」(第17条)——6つの具体的な根拠(もはや必要でない、同意が撤回された、違法な処理であるなど)、絶対的な権利ではない
- 処理制限権(第18条)——紛争解決までデータを「凍結」フラグする
- データポータビリティの権利(第20条)——構造化され、一般的に使用され、機械可読な形式で個人データを受け取り、別の管理者に移転する
- 異議申立権(第21条)——正当な利益または公共の利益に係る職務に基づく処理に対して、ダイレクトマーケティングについては絶対的
- プロファイリングを含む、自動処理のみに基づく決定に服さない権利(第22条)——契約、法律、明示的な同意による狭い例外あり
対応期限と形式
第12条が運用ルールを定めています。
- デフォルトは1カ月——複雑または多数の請求については、データ主体への理由を付した通知とともに、さらに2カ月延長可能
- 無料——「明らかに根拠がない、または過剰」な請求を除き、合理的な手数料または拒否が認められる(立証責任は管理者にある)
- 請求と同じ形式——メールでの請求にはメールで回答、ポータビリティについては構造化された機械可読形式で
- 本人確認は必要だが、比例的でなければならない——過度に負担の大きい本人確認自体が違反となり得る(CNILガイダンス)
EC事業者による運用方法
- DPOまたはプライバシーチームに振り分けられる専用のDSR受信箱(例:
[email protected]) - 1カ月のSLAタイマーと25日目での自動エスカレーションを備えたチケット対応フロー
- どのシステムが何を保有しているかを示す信頼できるデータマップ(第30条登録簿)——Zunaproはマーケットプレイス、ストアフロント、CRM、決済データについてこれを一元化する
- 法的に必要なメタデータがあらかじめ記入されたテンプレート回答
- すべての請求と回答の監査証跡——監督機関は調査の際、過去12カ月分のDSRログを日常的に要求する
6. 侵害通知 — 72時間の期限(第33条〜第34条)
「個人データ侵害」に該当するもの
第4条第12項は、個人データ侵害を「送信、保存、その他の方法で処理される個人データの偶発的または違法な破壊、喪失、変更、無許可の開示、または無許可のアクセスをもたらすセキュリティ上の侵害」と定義しています。EDPBガイドライン9/2022によれば、以下の3つのカテゴリーに分けられます。
- 機密性の侵害——無許可の開示またはアクセス(典型的にはハッキングやデータベースの流出)
- 完全性の侵害——データの無許可の変更
- 可用性の侵害——アクセスの偶発的または違法な喪失、または破壊(典型的にはランサムウェア)
72時間以内のデータ保護当局への通知
第33条は、自然人の権利および自由に対するリスクをもたらす可能性が低い場合を除き、「不当な遅延なく、可能な場合は認識してから72時間以内に」管轄監督機関に通知することを義務付けています。遅延した通知には、遅延の理由を添えなければなりません。この時計は、管理者が侵害の発生について合理的な確実性を持った時点から起算されます——最初の漠然とした警告の瞬間からではありません。
「高いリスク」がある場合の顧客への通知
第34条は、侵害が権利および自由に対して高いリスクをもたらす可能性がある場合、影響を受ける個人への「不当な遅延のない」通知という並行した義務を課しています。適用除外:暗号化されたデータ、事後に適用された低減措置、または不釣り合いな労力を要する場合(この場合は公表で足りる)。
侵害通知に記載すべき内容
- 侵害の性質。影響を受けたデータ主体および記録のカテゴリーと概算数を含む
- DPOの連絡先またはその他の窓口
- 予想される結果
- 侵害に対処し悪影響を軽減するために講じた、または提案する措置
よくある執行のパターン
遅延または未通知は、根底にある侵害とは無関係に、日常的に制裁金の対象となります。例:Twitter International(現X)は2020年、侵害通知の遅延によりアイルランドDPCから45万ユーロの制裁金を科された。Uberは、GDPR施行後に2016年の侵害を72時間以内に通知しなかったとして、オランダAPから60万ユーロの制裁金を科された。いずれのケースも、技術的な侵害自体は比較的軽微であり、手続き上の不備が制裁金の主な理由でした。
実務上のヒント:72時間の時計、指名されたオンコールDPO、事前に作成された監督機関通知テンプレート、加盟国ごとの事前マッピングされたデータ保護当局を備えた、文書化されたインシデント対応プレイブックが最低限必要です。Zunaproはすべての認証イベント、データエクスポート、管理者操作をログに記録するため、72時間の事実関係を数日ではなく数時間で再構築できます。侵害対応ツールを見る →
7. 越境移転 — SCC、十分性認定、Schrems II
デフォルトルール — 第V章
GDPR第V章(第44条〜第50条)は、3つの保護措置のいずれかが適用される場合を除き、「第三国」(EU/EEA域外)または国際機関への個人データの移転を禁止しています。
- 十分性認定(第45条)——欧州委員会が、第三国が「本質的に同等」の保護水準を提供していると正式に決定していること。
- 適切な保護措置(第46条)——標準契約条項(SCC)、拘束的企業準則(BCR)、承認された行動規範または認証。
- 特定の例外(第49条)——狭い例外:明示的な同意、契約の履行、重要な公共の利益、生命に関する利益。
有効な十分性認定(2026年時点)
2026年時点で、完全または部分的な十分性認定の対象国・地域は次のとおりです:アンドラ、アルゼンチン、カナダ(商業組織)、フェロー諸島、ガーンジー、イスラエル、マン島、日本、ジャージー、ニュージーランド、大韓民国(韓国)、スイス、イギリス(2025年更新、2031年まで有効)、ウルグアイ、そして2023年7月10日に採択されたEU-米国データプライバシーフレームワーク(DPF)に基づき認証された米国組織。
Schrems II判決とSCC
2020年7月16日、欧州司法裁判所はSchrems II事件(C-311/18)においてEU-米国プライバシーシールドを無効とし、現地の第三国法(例えば米国のFISA第702条に基づく監視)が相反する義務を生じさせる場合、SCCだけでは不十分であることを明確にしました。管理者は以下を行う必要があります。
- 2021年6月4日の欧州委員会実施決定(EU)2021/914により採択された新しいSCCを使用すること。4つのモジュール(C2C、C2P、P2P、P2C)で構成されている
- 移転先国の法的枠組みに関する移転影響評価(TIA)を実施すること
- TIAでリスクが明らかになった場合には補完的措置を適用すること——一般的にはエンドツーエンドの暗号化、仮名化、契約上・組織上の管理策など(EDPB勧告01/2020)
EU-米国データプライバシーフレームワーク
2023年のDPFは、認証された米国の受領者向けにプライバシーシールドに似た十分性メカニズムを再構築しました。DPF認証を受けた米国の処理者にデータを移転する販売者(AWS、Google Cloud、Microsoft Azureなど主要なハイパースケーラーの大半が認証を受けている)は、その特定の受領者についてはSCCを必要としませんが、それでも根拠を文書化し、再訴訟の動向を監視すべきです。すでに「Schrems III」訴訟が係属しており、この問題が再び蒸し返される可能性があります。
これが実務上意味すること
- すべてのサブ処理者と、データが実際に処理される国(請求先住所だけではない)をマッピングする
- 非十分性国の受領者と、その関係性に適したモジュールで2021年版SCCを締結する
- それぞれについてTIAを維持する——ほとんどのCMPやデータ保護当局管理ツールがテンプレートを提供している
- 法律またはサブ処理者の変更時、あるいは毎年更新する
8. 間近に迫るeプライバシー規則 — クッキーとマーケティングの何が変わるか
立法の背景
eプライバシー規則(ePR)は、2002/58/EC eプライバシー指令(「クッキー指令」)に代わるものとして、欧州委員会により2017年1月に提案されました。指令とは異なり、国内法化を経ずに直接適用されることになり、フランス(CNIL決議2020-091)、ドイツ(TTDSG/TDDDG)、スペイン(LSSI-CE)、イタリア(Garante 2021年クッキーガイドライン)などがそれぞれ同じEUの基準を異なる形で解釈している現在の寄せ集め状態を解消します。
適用範囲に含まれる可能性が高いもの(2026年時点の状況)
- クッキーおよび類似技術——フィンガープリンティングやSDKレベルの識別子を含む
- 電子通信のメタデータ——通信の秘密の保護を、従来の電話事業者を超えてOTTメッセージングにまで拡張
- ダイレクトマーケティング——電子マーケティング(メール、SMS)についてオプトインを求めつつ、顧客関係における類似商品については既存の「ソフトオプトイン」を維持
- ブラウザレベルの同意シグナル——「Do Not Track」/Global Privacy Control形式のシグナルの明示的な承認
- 迷惑通信——B2Cでは厳格なオプトイン、B2Bではやや緩やか
変わらないこと
GDPRは、同意の質に関する一般法(lex generalis)であり続けます(第4条第11項、第7条)。ePRは、電子通信および追跡に対する同意がいつ必要かに関する特別法(lex specialis)です。今日設計されたTCF v2.2対応CMPは、ePRへの移行に対応できるものであるべきです。
ECへの予想される影響
- 各国の差異(例:ドイツの電気通信法の細かい規定)が単一のEUルールへと収れんしていく
- ブラウザレベルの「すべて拒否」シグナルを無視することが難しくなる——アナリティクスやアドテクのスタックはこれを自動的に尊重する必要がある
- B2Bマーケティングのルールは、一部の加盟国がより厳格なB2C体制を維持する中で、B2Cとより鋭く分岐する可能性がある
- 国境を越えたマーケティングキャンペーンが、単一の情報源から容易にコンプライアンスチェックできるようになる
9. 制裁金 — 2,000万ユーロまたは世界売上高の4%(第83条)
2段階の水準
第83条は2つの最大制裁金水準を定めています。
- 第1段階——最大1,000万ユーロまたは世界年間売上高の2%(いずれか高い方):管理者/処理者の義務(第8条、第11条、第25条〜第39条、第42条、第43条)に対する違反
- 第2段階——最大2,000万ユーロまたは世界年間売上高の4%(いずれか高い方):基本原則(第5条)、適法性根拠(第6条)、同意の要件(第7条)、特別カテゴリーのデータ(第9条)、データ主体の権利(第12条〜第22条)、国際移転(第44条〜第49条)に対する違反
データ保護当局による金額の算定方法
EDPBは、5段階の方法論を定める行政制裁金の算定に関するガイドライン04/2022(2023年5月24日採択)を発行しました。
- 処理業務を特定し、第83条第3項を適用して1つまたは複数の制裁金が適用されるかを判断する
- 違反の重大性(第83条第2項(a)(b)(g))に基づいて開始金額を特定する
- 加重または軽減事由(第83条第2項(c)〜(k))を適用する
- 動的な上限(第83条第4項〜第6項)を超えないことを確認する
- 実効性、比例性、抑止力を評価する
2026年の制裁金の状況
累計GDPR制裁金は2026年までに55億ユーロを超えています。主な制裁事例は以下のとおりです。
- 12億ユーロ——Meta Platforms Ireland(アイルランドDPC、2023年5月22日)——違法な米国への移転
- 7億4,600万ユーロ——Amazon Europe Core(ルクセンブルクCNPD、2021年7月16日)——アドテクの同意
- 4億500万ユーロ——Meta/Instagram(アイルランドDPC、2022年9月5日)——子どものデータ
- 3億9,000万ユーロ——Meta/Facebook+Instagram(アイルランドDPC、2023年1月)——広告の適法性根拠
- 3億4,500万ユーロ——TikTok(アイルランドDPC、2023年9月)——子どものプライバシー
- 2億9,000万ユーロ——Uber B.V.(オランダAP、2024年8月)——運転手データの米国への移転
- 2億2,500万ユーロ——WhatsApp(アイルランドDPC、2021年9月)——透明性の欠如
中小企業の現実
大きな見出しになる制裁金は最大手の管理者を対象としていますが、AEPDなどの監督機関は、中小企業に対して年間数百件、1,000〜5万ユーロ規模の制裁金を日常的に科しています——典型的な違反はプライバシー通知の欠如、無届けの監視カメラ、違法なクッキー、データ主体請求への対応遅延です。年間売上高100万〜1,000万ユーロのEUオンライン販売者にとって、現実的なリスクは指摘事項1件あたり5,000〜10万ユーロの範囲であり、基本的なコンプライアンスが整っていれば、重大ではあるものの乗り越えられる水準です。
📊 パネル内での制裁金リスク予測
Zunaproのコンプライアンスダッシュボードは、あなたの処理活動をEDPBの制裁金算定方法論と照合し、リスクが最も高いギャップを優先的にフラグ表示します。
10. EC向けGDPRチェックリスト + 各国データ保護当局
12項目の実務チェックリスト
- 管理者を選任し、(必要な場合は)DPOを選任する——選任と連絡先を公開して文書化する
- 第30条登録簿を維持する。目的、適法性根拠、受領者、保存期間、移転ごとに索引付けする
- 第13条・第14条に基づき、GDPRに準拠したプライバシー通知を公開する——階層構造で、明確に記載し、対象市場の言語で
- 「すべて同意する」/「すべて拒否する」を同等に配置し、詳細な切り替えを備えたTCF v2.2対応のCMPを導入する
- すべての処理活動について適法性根拠を文書化する——特に契約、正当な利益、同意を区別する
- 決済ゲートウェイ、ホスティングプロバイダー、フルフィルメントパートナー、マーケティングツールなど、すべての処理者とDPA(第28条)を締結する
- 第15条〜第22条、1カ月のSLA、本人確認、監査証跡を含むDSR対応フローを整備する
- 注文データ、マーケティングデータ、ログデータ、決済データなど、それぞれに固有の期限を設けた保存・削除スケジュールを設定する
- プレイブック、指名されたDPO、データ保護当局向けテンプレート、モニタリングを備えた72時間以内の侵害対応計画を実装する
- すべての非十分性国への移転について2021年版SCCを締結しTIAを実施する。処理者が認証を受けている場合はEU-米国DPFを活用する
- プロファイリング、大規模な特別カテゴリーのデータ、組織的な監視など、高リスクの処理についてDPIA(第35条)を実施する
- 従業員を教育し、判断を記録し、すべてを文書化する——アカウンタビリティ(第5条第2項)はそれ自体が実体的な義務である
各国監督機関 — いつ誰に連絡するか
| 加盟国 | 当局 | 所在都市 | 2026年の主な執行重点 |
|---|---|---|---|
| フランス | CNIL | パリ | クッキー、アドテク、TCF、高額制裁金 |
| スペイン | AEPD | マドリード | 中小企業への執行、監視カメラ、DSR対応の遅延 |
| イタリア | Garante | ローマ | AI/ChatGPT、テレマーケティング、クッキー |
| ドイツ — 連邦 | BfDI | ボン | 連邦機関、通信事業者、郵便事業 |
| ドイツ — 州 | 16の州データ保護機関 | 各州 | 民間部門への執行(LfDI BW、BlnBDI、HmbBfDIが最も活発) |
| オランダ | Autoriteit Persoonsgegevens(AP) | ハーグ | クッキーウォール、AI登録簿、政府の情報漏洩 |
| アイルランド | Data Protection Commission(DPC) | ダブリン | ビッグテックの主導的当局、最高額の制裁金 |
| ハンガリー | NAIH | ブダペスト | 監視カメラ、顔認識、人事データ |
| ベルギー | Gegevensbeschermingsautoriteit(APD/GBA) | ブリュッセル | アドテク、IAB Europe TCFに関する決定 |
| イギリス | ICO(UK GDPR) | ウィルムズロウ | アドテク、子ども向けコード、AIガイダンス |
この表の読み方:越境事案については「ワンストップショップ」の仕組みが適用され、主導的当局は管理者の主たる事業所が所在する国のデータ保護当局です。純粋に国内の苦情については、現地のデータ保護当局が対応します。Zunaproはテナントごとに主導的当局の設定を保持しているため、顧客からの苦情は自動的に適切な先へ振り分けられます。
ZunaproストアフロントをGDPR対応にする方法 — ステップバイステップ
1. 管理者とDPOを設定する
Zunaproパネル → 設定 → プライバシーで、法人としての管理者、登記上の住所、EU代表者(EU域外にいる場合)、DPOの連絡先を申告します。これらの値は、第13条プライバシー通知、クッキーバナーの第1層、DSR受信箱の設定に反映されます。
2. TCF v2.2対応CMPを有効化する
- 設定 → クッキーで同意管理プラットフォームを有効化する
- レイアウト(バナー、モーダル、バー)を選び、「すべて同意する」/「すべて拒否する」が同等に扱われていることを確認する
- TCF GVLから目的1〜11を選択する——ZunaproはEC向けのデフォルト設定をあらかじめ選択している
- フッターに常設の「クッキー設定」リンクがあることを確認する
3. 第13条プライバシー通知を生成する
Zunaproは、ステップ1で入力したデータと、接続済みの連携先(決済ゲートウェイ、マーケティングツール、ホスティング地域)から多言語の通知を生成します。内容を確認し、市場ごとにローカライズ版を編集して公開します。
4. DSR対応フローを設定する
- プライバシー用の受信箱(またはウェブフォームのエンドポイント)を設定する
- 権利(アクセス、消去など)をSLAと、対応すべきシステムにマッピングする
- 監査ログを有効化する
5. 侵害モニタリング+SCCライブラリを有効化する
72時間のインシデント対応プレイブックを切り替え、EU/EEA域外で活動するすべてのサブ処理者について、事前署名済みの2021年版SCCをインポートします。Zunaproは年次のTIA更新リマインダーを送信します。
6. 本番稼働する
- Zunaproにサインインし、EUモジュールを開く
- 設定でプライバシーハブを有効化する
- 管理者、DPO、CMP、プライバシー通知、DSR、侵害対応計画、SCCというウィザードを進める
- 販売するすべての市場に翻訳する(ZunaproはEN、DE、FR、ES、IT、NL、PL、HU、PT、RO、CS、SKでテンプレートを提供)
- 本番稼働させる——単一ストアフロントについて、最初のエンドツーエンドの導入は通常10〜15分で完了する
1つのパネルで、すべてのEUストアフロントをGDPR対応にする
TCF v2.2対応CMP・第13条プライバシー通知・DSR対応フロー・72時間以内の侵害対応・2021年版SCC+TIA・CNIL、AEPD、Garante、BfDI、AP、NAIH、ICOに対応した事前マッピング済みデータ保護当局ライブラリ。デモ不要、10分で導入完了。
EUマーケットプレイスに接続 →2026年版EU GDPRに関するFAQ
GDPRとは何ですか。いつ施行されましたか。
GDPRは一般データ保護規則——正式には規則(EU)2016/679です。2016年4月27日に採択され、EU加盟27カ国とEEA加盟3カ国(ノルウェー、アイスランド、リヒテンシュタイン)で2018年5月25日に直接適用されるようになりました。
指令ではなく規則であるため、国内法化を経ることなく、すべての加盟国で同日に施行されました。1995年のデータ保護指令(95/46/EC)に取って代わりました。
ECサイトのクッキーにGDPRの同意は必要ですか。
はい、必須ではないクッキーはすべて対象です:アナリティクス、広告、パーソナライゼーション、A/Bテスト、サードパーティの埋め込みなど。厳密に必要なクッキー(カート、ログインセッション、CSRFトークン)は適用除外ですが、それでも記載する必要があります。
2023年11月から義務化されたIAB Europe TCF v2.2フレームワークは、同意を取得・伝達するための標準です。あらかじめチェックされたボックス、拒否の選択肢が同等でないクッキーウォール、「閲覧継続を同意とみなす」扱いは、EDPBのガイドラインおよびCNIL/AEPDの執行決定により明示的に禁止されています。
GDPR上、プライバシーポリシーは義務ですか。
はい。GDPRの第13条・第14条は、すべての管理者(すべてのEC事業者を含む)に対し、明確で透明性のあるプライバシー通知を提供することを義務付けています。必須記載事項には、管理者の身元、処理の目的と適法性根拠、保存期間、受領者、国際移転、データ主体の権利、監督機関への苦情申立権が含まれます。
通知は平易な言葉で書かれ、容易にアクセスできる必要があり(通常は各ページのフッターにリンク)、実際の処理活動と一致していなければなりません。第30条登録簿と一致しない定型的な通知は、頻発する制裁事由です。
EC事業者はいつDPOを選任する必要がありますか。
GDPR第37条は、(a)処理が公的機関により行われる場合、(b)中核的業務がデータ主体の定期的かつ組織的な大規模監視を必要とする場合、(c)中核的業務が特別カテゴリーのデータまたは前科・犯罪に関するデータの大規模処理を含む場合にDPOを義務付けています。
よく引用される250人という閾値は、第30条の記録維持に関するものであり、DPO選任とは無関係です。実務上、ほとんどのマーケットプレイス、大手小売業者、行動ターゲティング広告に大きく依存するEC事業は、従業員数にかかわらずDPOを必要とします。各国の規則はより厳格な場合があります——ドイツのBDSGは、自動処理に関与する人数が20人からDPOを要求します。
GDPR上のデータ主体の権利とは何ですか。
第3章(第15条〜第22条)は8つの権利を付与しています:アクセス権(第15条)、訂正権(第16条)、消去権/忘れられる権利(第17条)、処理制限権(第18条)、データポータビリティの権利(第20条)、異議申立権(第21条)、そしてプロファイリングを含む自動処理のみに基づく決定に服さない権利(第22条)、加えて通知を受ける権利(第13条〜第14条)です。
第12条は運用ルールを定めています:1カ月以内に対応し、複雑または多数の請求についてはさらに2カ月延長でき、「明らかに根拠がない、または過剰」な場合を除き無料です。
72時間以内の侵害通知規則とは何ですか。
GDPR第33条は、管理者に対し、自然人の権利および自由に対するリスクをもたらす可能性が低い場合を除き、認識してから72時間以内に個人データ侵害を管轄監督機関に通知することを義務付けています。高いリスクがある場合、第34条は影響を受ける個人への不当な遅延のない通知も義務付けています。
遅延または未通知は、根底にある侵害とは無関係に、日常的に制裁金の対象となります——Twitter International(45万ユーロ、アイルランドDPC、2020年)やUber(60万ユーロ、オランダAP)がよく知られた例です。
Schrems II判決後、EC顧客データをEU域外に移転するにはどうすればよいですか。
Schrems II判決(欧州司法裁判所C-311/18、2020年7月16日)後、プライバシーシールドは無効とされました。第三国への移転には現在、(i)欧州委員会の十分性認定——現在イギリス、スイス、日本、韓国、カナダ(商業組織)、イスラエルなどに加え、2023年7月に採択されたEU-米国データプライバシーフレームワークが対象——、または(ii)2021年版標準契約条項に加え、移転影響評価と補完的技術的措置のいずれかが必要です。
エンドツーエンドの暗号化、仮名化、契約上・組織上の措置が、最も一般的な補完的保護措置です(EDPB勧告01/2020)。
eプライバシー規則はクッキーのルールをどのように変えますか。
eプライバシー規則は、2002年/2009年のeプライバシー指令(指令2002/58/EC、「クッキー指令」)に代わることを目的として、2017年以来交渉が続いています。採択されれば、EU全域のクッキー、電子マーケティング、メタデータのルールを規則レベルで調和させ、現行の各国法の寄せ集めに取って代わります。
2026年時点での見込みでは、新しい欧州委員会任期中の最終合意が想定されています。それまでは、各国のeプライバシー法(フランスのLCEN/CNIL決議2020-091、ドイツのTTDSG/TDDDG、スペインのLSSI-CE、イタリアのGarante 2021年クッキーガイドライン)がGDPRと並行して効力を持ち続けます。TCF v2.2対応のCMPは、ePRの草案に対して将来的にも互換性があります。
GDPRの制裁金はどの程度で、誰が科すのですか。
GDPR第83条は2段階を定めています:行政上の違反については最大1,000万ユーロまたは世界年間売上高の2%(いずれか高い方)、基本原則、適法性根拠、データ主体の権利、国際移転の違反については最大2,000万ユーロまたは世界年間売上高の4%です。
制裁金は各国の監督機関——CNIL(フランス)、AEPD(スペイン)、Garante(イタリア)、BfDIおよび16の州データ保護機関(ドイツ)、AP(オランダ)、NAIH(ハンガリー)、UK GDPRに基づくICO(イギリス)、そしてビッグテック関連事案の大半で主導的当局を務めるアイルランドDPC——が科します。これまでの最高単独制裁金は、Meta Platforms Irelandに対する12億ユーロ(アイルランドDPC、2023年5月)です。
EU域内のEC事業者向けの最低限のGDPRチェックリストとはどのようなものですか。
12の必須項目:(1)管理者の選任、必要な場合はDPOの選任、(2)第30条に基づく処理活動記録の維持、(3)GDPRに準拠したプライバシー通知の公開、(4)TCF v2.2クッキー同意の実装、(5)処理活動ごとの適法性根拠の文書化、(6)すべての処理者とのデータ処理契約の締結、(7)SLAに基づくデータ主体からの請求対応フローの整備、(8)保存・削除スケジュールの設定、(9)72時間以内の侵害対応計画の実装、(10)非十分性国への移転に対する2021年版SCC+TIAの整備、(11)高リスク処理に対するDPIAの実施、(12)従業員研修と全体の文書化です。
GDPRはEUに配送するEU域外の販売者にも適用されますか。
はい。GDPR第3条第2項は域外適用効を持ちます:EU域外の管理者または処理者であっても、EU/EEA域内のデータ主体に商品またはサービスを提供する場合、またはその行動を監視する場合は、GDPRの適用を受けます。
EU域外の販売者は、ほとんどの場合、第27条に基づきEU代表者——監督機関およびデータ主体の窓口として行動する、EU域内に設立された自然人または法人——を選任する必要があります。したがって、EUに越境販売するトルコ、イギリス、米国、アジアのEC事業はいずれも、GDPRコンプライアンスと、通常は第27条代表者の選任が必要です。
データ管理者とデータ処理者の違いは何ですか。
管理者は処理の目的および手段を決定します——通常はEC事業者自身です。処理者は、文書化された指示に基づき、管理者に代わって個人データを処理します——通常は決済ゲートウェイ、フルフィルメントパートナー、マーケティングツール、ホスティングプロバイダーです。
第28条は、対象事項、期間、性質、目的、データのカテゴリー、管理者の義務、処理者の義務(サブ処理者の許可、管理者への侵害通知、サービス終了時の削除・返還を含む)を網羅する、両者間の書面によるデータ処理契約(DPA)を義務付けています。
Zunaproストアフロントを GDPR準拠にするにはどれくらいの時間がかかりますか。
技術的な層についてはおよそ10分です。Zunaproは、TCF v2.2対応の同意管理プラットフォーム、12のEU言語による第13条プライバシー通知テンプレート、データ主体請求対応フロー、設定可能な保存ルール、自動化された侵害通知ツール、サブ処理者向けの事前署名済み2021年版SCCを備えたGDPR対応ストアフロントを提供します。
残りの作業はコードではなくポリシーに関するものです:処理活動ごとの適法性根拠の文書化、第30条登録簿への記入、監督機関の連絡先情報の整合です。ほとんどの販売者は半日で最初の一通りの対応を完了させ、その後改善を重ねていきます。
EUのEC事業の基盤を立ち上げる — 標準でGDPR準拠
規則(EU)2016/679・TCF v2.2クッキー同意・第13条プライバシー通知・8つのデータ主体の権利・72時間以内の侵害対応・2021年版SCC+TIA・CNIL、AEPD、Garante、BfDI、AP、NAIH、ICOに対応した事前マッピング済みデータ保護当局ライブラリ。1つのパネルで、すべてのEUストアフロント、すべてのマーケットプレイスに対応。
🇪🇺 EU全域で展開を開始する →