スペインのデータ保護スナップショット2026 ── 早わかり
スペインはRGPD(規則EU 2016/679)を国内法であるLOPDGDD(組織法3/2018)を通じて適用し、AEPDが監督にあたります。すべてのeコマースサイトは、準拠したプライバシーポリシー及び法的告知を公開し、『同意する』と同レベルの『拒否』ボタンを備えたクッキーバナーを実装し、処理活動を登録(RAT — Registro de Actividades de Tratamiento)し、1か月以内に8つのRGPDの権利に対応できる体制を整えなければなりません。個人データの侵害は72時間以内にAEPDへ報告する必要があります。行政制裁金の上限は2000万ユーロまたは全世界年間売上高の4%のいずれか高い方です。
1. RGPD+LOPDGDD法体系 ── 概要
スペインほど集中的にデータ保護を執行しているEU加盟国は多くありません。以下の図は、本ガイドで扱う6つの法制度・規制レイヤーをまとめたものです ── 各章を読み進める際の参照として活用してください。
RGPD — 規則(EU)2016/679
2016年4月採択 · 2018年5月25日から適用 · スペインを含むEU加盟27か国すべてに直接適用
LOPDGDD — 組織法3/2018
2018年12月6日官報公布 · スペインにRGPDを適応させる国内法 · 第10編「デジタル権利」を含む
AEPD — スペインデータ保護庁
1993年設立(LORTAD)· 本部マドリード · コルテス・ヘネラーレスに報告する独立した公法上の機関
LSSI-CE — 法律34/2002
情報社会サービス+電子商取引 · 第22条2項=クッキー同意の法的根拠 · 法的告知(Aviso legal)が必須
DPO/DPD — データ保護責任者
16分野で選任義務(LOPDGDD第34条)· オンラインポータル経由でAEPDへの通知が必須
EDPB — 欧州データ保護会議
旧第29条作業部会(WP29)の後継 · 拘束力のあるガイドライン(クッキー、SCC、移転)を発行 · AEPDも参加
あなたのスペインのeコマースに無料RGPD監査を実施
Zunaproにショップを接続すると、クッキーバナー、プライバシーポリシー、RAT登録簿、侵害対応プレイブック、データ主体からの請求受付をAEPDの2024年公式チェックリストに照らしてスキャンします。
RGPDが実際に求めていること
RGPDは第5条に定める6つの処理原則 ── 適法性・公正性・透明性、目的の限定、データの最小化、正確性、保存期間の制限、完全性及び機密性 ── に加え、メタ原則である説明責任(管理者は準拠していることを証明できなければならない)を土台としています。スペインのオンラインショップにとってこれが意味するのは、必要なデータだけを収集し、明示した目的にのみ使用し、法律が求める期間だけ保存し、すべての手順を文書化することです。
RGPDはまた、第6条において処理の6つの法的根拠 ── 同意、契約、法的義務、生命に関する利益、公共の利益、正当な利益 ── を定めています。eコマースにおける処理の大部分は契約(購入行為)または法的義務(税務保存、不正防止)に該当し、同意はマーケティングニュースレターや非必須クッキーなど、明らかに任意の目的のために留保されます。
LOPDGDDがスペインでRGPDをどう拡張しているか
LOPDGDD 3/2018はスペインの国内実施法です。純粋なRGPDにはない、以下の3点を規定しています。
- スペイン独自のルールを追加:同意の最低年齢を14歳に設定(RGPDは13〜16歳の幅を認める)、雇用における同意のみに基づくデータ処理を明示的に禁止、故人のデータに関する特別ルール(第3条)。
- 16の強制的DPO対象分野を第34条に列挙 ── RGPDの一般的な3つのトリガーよりもはるかに広範囲で、信用情報、賭博、医療、学校、保険、電気・水道・ガスの供給及び流通、電子通信サービス事業者を含みます。
- 第10編「デジタル権利保証」を導入:インターネット中立性、デジタルセキュリティ、デジタル教育、職場でのデジタル切断権、デジタル遺言、デジタルメディア上の個人情報の更新権に関する権利。これらはスペイン独自のものです。
2. AEPD ── スペインのデータ保護監督機関
起源と組織
スペインデータ保護庁は、スペイン初のデータ保護法であるLORTAD(組織法5/1992)に基づき1993年に設立されました。現在はLOPDGDDによって統治される独立した公法上の機関であり、本部はマドリード28001、Jorge Juan通り6番地にあります。長官は司法省の提案に基づき、コルテス・ヘネラーレスでの聴聞を経て、国王令により5年の再任不可の任期で任命されます。AEPDと並んで、それぞれの公共部門に権限を持つ2つの地域機関が存在します:カタルーニャのAPDCATとバスクのAVPDです。
RGPD第58条に基づく権限
AEPDは3種類の権限を有しています。
- 調査権限 ── 情報の要求、現地査察の実施、施設及び機器へのアクセス、管理者のデータの監査、証人の召喚。
- 是正権限 ── 警告、譴責、処理を準拠させる命令、データ主体の権利を満たす命令、処理の一時的または恒久的な禁止、及び行政制裁金。
- 認可及び助言権限 ── 拘束的企業準則の承認、行動規範の認証、国内法案に対する意見の発出、政府及びコルテス・ヘネラーレスへの助言。
AEPDがeコマースにとって特に重要な理由
AEPDは歴史的にEU域内で最も活発な監督機関のひとつです。その執行対象は大手通信事業者、銀行、ソーシャルネットワーク、そして多くのeコマースプラットフォームに及びます。2024〜2026年に繰り返し調査対象となった分野は、有効な『拒否』オプションのないクッキーバナー、無許可の商業コミュニケーション、顧客アカウントに関わるデータ侵害、十分な保護措置のない第三国へのデータ移転、そして法定の1か月以内にデータ主体アクセス請求に対応しなかった事例です。
💡 AEPD執行ガイド全文を読む
AEPDの査察手続き、最近の決定事例、防御権、そして通知から決定に至るまでのAEPD調査の対応方法について詳しく解説します。
3. クッキー同意バナー ── 必須要件
法的根拠 — LSSI-CE第22条2項+RGPD第7条
スペインのウェブサイト上のクッキーは二層構造のルールによって規律されます。法的根拠はLSSI-CE(法律34/2002)第22条2項にあり、「データの保存及び取得装置の使用に関する明確かつ完全な情報」を要求しています。有効な同意という概念はRGPD第7条に由来し、自由意思による、特定された、十分な情報に基づく、明確な同意、及びいつでも同意を与えたのと同じくらい容易に撤回できる権利を求めています。
AEPDのクッキーガイドライン ── 2024年改訂版
AEPDはクッキー利用ガイドラインの現行版を2024年1月に公表し、EDPBの2023年ガイドラインに整合させました。対応すべき基準は明確です。
- 第一層バナー:管理者を特定し、クッキーの目的(技術的、設定、アナリティクス、広告、ソーシャル)を列挙し、同意及び拒否それぞれの結果を説明し、完全な第二層のクッキーポリシーへのリンクを提供しなければなりません。
- 『同意する』と同レベルの『拒否』ボタン:AEPDは、『同意する』を目立つ色付きボタンとして表示し、『拒否』を小さなグレーのリンクにしたり『設定を管理』の裏に隠したりすることを違反とみなします。2024年以降、『拒否』ボタンは『同意する』と同等の目立ち方をしなければなりません。
- 粒度の高い選択肢:ユーザーはアナリティクス、広告、ソーシャル、パーソナライゼーションといったカテゴリーごとに個別に同意・拒否できなければなりません。
- 事前チェック済みボックスの禁止:厳密に技術的なクッキー以外の目的は、いかなる場合も事前選択されていてはなりません。
- クッキーウォールの禁止:ユーザーが同意しない限りサイトへのアクセスをブロックすることは、真に同等のサービスが提供されている場合を除き違反となります。
- 『閲覧の継続』は同意にあたらない:スクロールを続ける、ナビゲートする、リンクをクリックすることは有効な同意になりません。
- 撤回の仕組み:同意を撤回するための恒久的なコントロール(通常はフローティングアイコン)がすべてのページで表示されなければなりません。
二層構造のアーキテクチャ
『厳密に技術的な』クッキーとは何か
厳密に技術的なクッキーは、LSSI-CE第22条2項により同意の対象外です。これにはセッションクッキー、セッション中の認証クッキー、ショッピングカートクッキー、セキュリティクッキー(CSRF対策)、負荷分散クッキー、及びアクセシビリティ/言語設定クッキーが含まれます。AEPDの解釈ではアナリティクスは技術的なものとみなされません ── Google Analytics 4であっても、処理が完全に匿名化され、かつ管理者自身のサービスのトラフィック測定のみを目的として設定されている場合を除き、同意が必要です。
クッキー対応のヒント:AEPDは2024〜2026年、『拒否』をセカンダリー画面の裏に配置し、『同意する』を目立つプライマリーボタンにしていたスペインのeコマースサイトを数十件処罰しています。まず自社のバナーを監査してください ── その1つのボタンが制裁の最も一般的な原因です。無料でクッキーバナー監査を実行 →
4. プライバシーポリシー ── 記載すべき内容
RGPD第13条/第14条の最低要件
スペインのeコマースサイトはすべて、全ページからアクセス可能なプライバシーポリシー(Política de Privacidad)を必要とし、RGPD第13条(データ主体から収集したデータ)及び第14条(第三者から取得したデータ)の情報提供義務を満たさなければなりません。必須記載事項は以下の通りです。
- 管理者、及び該当する場合はEU代理人及びDPOの身元及び連絡先
- 処理の目的及び各目的の法的根拠(契約、正当な利益、同意、法的義務)
- 第6条1項f号を根拠とする場合の、管理者が追求する正当な利益
- 個人データの受領者または受領者のカテゴリー(決済処理業者、物流業者、マーケティングツール)
- 第三国への移転(国名、法的な仕組み(十分性認定、SCC、BCR)、保護措置への言及を明記)
- 保存期間またはその期間を決定する基準
- 8つのRGPDの権利及びその行使方法、並びにAEPDへの苦情申立権
- データ提供が義務的か任意か、及び拒否した場合の結果
- プロファイリングを含む自動意思決定の有無、及びそのロジックに関する意味のある情報
- 同意が法的根拠である場合の同意撤回権
LOPDGDD第11条 ── 階層的な情報提供
LOPDGDDは明確に階層的アプローチを認めています:データ収集時点(チェックアウトフォームなど)で表示する簡潔で平易な言葉による通知に、RGPD第13条/第14条の全情報を含むプライバシーポリシー全文へのハイパーリンクを添える方法です。このパターンは現在、AEPDがeコマースに対して推奨するアプローチとなっています。
プライバシーポリシーを掲載すべき場所
- 全ページのフッター ── ストアフロントの言語で「プライバシーポリシー」またはそれに相当するラベルの恒久的にアクセス可能なリンク
- アカウント登録時 ── 利用規約の同意とは別のチェックボックス、事前チェックは絶対に禁止、ポリシーへのリンク
- チェックアウト時 ── 注文で処理されるデータに関する簡潔な通知、ポリシーへのリンク
- ニュースレターフォーム ── マーケティング目的の同意は「アカウント作成」とは別に取得
- お問い合わせフォーム ── 簡潔な通知+リンク、マーケティングフォローアップを意図する場合のみ別途同意を取得
📘 数分で準拠したスペイン語プライバシーポリシーを生成
Zunaproのポリシー生成ツールはRGPD第13条/第14条、LOPDGDD第10編のデジタル権利、及び階層型通知テンプレートに対応 ── レビュー、編集、公開まで一括対応。
5. データ保護責任者(DPO) ── いつ選任が義務になるか
RGPD第37条の3つの一般的なトリガー
RGPD第37条に基づき、管理者または処理者は、以下のいずれかに該当する場合にDPOを選任しなければなりません。
- 処理が公的機関または団体によって行われる場合(司法権限を行使する裁判所を除く)
- 中核業務が、その性質、範囲または目的によりデータ主体の定期的かつ組織的な大規模監視を必要とする処理業務である場合
- 中核業務が特別なカテゴリーのデータ(第9条)または刑事有罪判決に関する個人データ(第10条)の大規模処理である場合
LOPDGDD第34条がDPOを義務付ける16分野
スペインはRGPDよりも一歩踏み込んでいます:LOPDGDD第34条は、規模を問わずDPOの選任が義務付けられる16の活動分野を明示的に列挙しています。eコマース関連事業に特に関係の深いものは以下の通りです。
- 信用情報システム運営事業者
- プロファイリングを伴う広告及び商業的勧誘を行う企業
- 診療記録の保存が法的に義務付けられている医療機関
- 電子マネー発行事業者及び信用機関
- 保険及び再保険事業者
- 投資サービス会社
- 電気及び天然ガスの供給事業者
- 顧客の個人データを定期的かつ組織的に処理する電子通信サービス事業者
- 大規模なユーザープロファイルを作成する情報社会サービス事業者
- 電子的手段でサービスを提供する賭博事業者
- 民間警備会社
- 未成年者を対象とするスポーツ連盟
通知義務
DPOの選任が義務付けられているすべての管理者は、選任後10日以内にオンラインポータル(sede.aepd.gob.es)経由でAEPDへ通知し、DPOが交代するたびに再度通知しなければなりません。DPOの連絡先はプライバシーポリシーにも公開しなければなりません。
DPOの独立性と利益相反
DPOは経営層の最上位に直接報告しなければならず、その職務遂行を理由に制裁または解任されることはなく、処理の目的及び手段を決定する立場(例えばCEO、CIO、CFO、マーケティング責任者)を兼務することはできません。EDPBとAEPDはいずれも、DPOの役割をこうした地位と兼務することは構造的な利益相反にあたると確認しています。
6. データ主体の権利 ── RGPDの8つの権利+LOPDGDDのデジタル権利
RGPD第3章に基づく中核となる8つの権利
スペインの顧客はいつでも無料で以下の権利を行使でき、最大1か月の対応期限(複雑な請求の場合は正当な理由を通知した上で2か月延長可能)が設けられています。
| 権利 | 条文 | 顧客が要求できること |
|---|---|---|
| アクセス権 | 第15条 | 処理の確認+データの写し+第13条/第14条のすべての情報 |
| 訂正権 | 第16条 | 不正確または不完全なデータの遅滞ない訂正 |
| 消去権 | 第17条 | データが不要になった場合、同意が撤回された場合、または処理が違法な場合の「忘れられる権利」 |
| 処理制限権 | 第18条 | 検証が完了するまでの処理の一時停止 |
| データポータビリティ権 | 第20条 | 構造化され、一般的に利用され、機械可読な形式(JSON、CSV)でのデータ提供 |
| 異議申立権 | 第21条 | 正当な利益に基づく処理またはダイレクトマーケティングへの異議申立権(マーケティングについては絶対的権利) |
| 自動意思決定に関する権利 | 第22条 | 法的またはそれに類する重大な影響を及ぼす、プロファイリングを含む完全に自動化された意思決定のみに服さない権利 |
| AEPDへの苦情申立 | 第77条 | 対応に納得できない場合、データ主体はいつでもAEPDにエスカレーションできる |
LOPDGDD第10編 ── スペイン独自のデジタル権利
LOPDGDDの第10編はスペイン独自のものです。RGPDを超えるデジタル権利を規定しており、以下を含みます。
- インターネット中立性に関する権利(第80条)
- デジタルセキュリティに関する権利(第82条)
- デジタル教育に関する権利(第83条)
- インターネット上の未成年者の保護(第84条)
- インターネット上の訂正権(第85条)
- デジタルメディア上の情報を更新する権利(第86条)
- 職場におけるデジタル機器の使用及びプライバシーに関する権利(第87条)
- 職場でのデジタル切断権(第88条)
- 職場における位置情報装置に対するプライバシー権(第90条)
- デジタル遺言に関する権利(第96条)
実務上のDSR対応手順
eコマースにおける実務パターンは以下の通りです。
- 請求を受け付ける ── メール、ウェブフォーム、または郵送 ── すべてのチャネルを受け付けなければなりません。
- 本人確認を行う ── 適切な範囲で。アカウントにログインしている長期顧客であればセッションで十分な場合が一般的ですが、匿名のメールについては合理的な本人確認を求めます。
- 1か月以内に対応する ── 正当な理由があれば2か月延長可能。
- すべての請求を記録する ── 受付日、種類、対応内容、判断、理由 ── 内部監査及びAEPDの将来的な査察の両方のために。
- 不服がある場合にAEPDへ苦情を申し立てる権利をデータ主体に伝える。
7. 個人データ侵害 ── 72時間以内の通知
3つの通知フロー
「個人データ侵害」とはRGPD第4条12号において「個人データの偶発的または違法な破壊、喪失、改ざん、無許可の開示または個人データへの無許可のアクセスにつながるセキュリティ侵害」と定義されています。侵害が発生した場合、以下3つの通知フローが作動する可能性があります。
- 認識してから72時間以内のAEPDへの通知(RGPD第33条) ── ただし侵害が権利及び自由に対するリスクをもたらす可能性が低い場合を除く。
- 侵害が権利及び自由に対して高いリスクをもたらす可能性がある場合の、影響を受けるデータ主体への「不当な遅延なく」の通知(RGPD第34条)。
- 重大性にかかわらない、侵害登録簿への内部記録 ── この内部ログ自体が義務であり監査対象です。
AEPD通知フォーム
AEPDは侵害通知のためのオンラインフォームをsede.aepd.gob.esで運用しています。このフォームはEDPBのテンプレートに従っており、以下の情報が求められます。
- 管理者及びDPOの連絡先の特定
- 侵害の性質 ── 機密性、完全性、可用性
- 侵害が発生した日時、及び認識した日時
- 影響を受けるデータ主体のカテゴリー及び概算人数
- 影響を受けるレコードのカテゴリー及び概算件数
- データ主体への予想される影響
- 侵害を軽減するために講じた、または提案する措置
- 影響を受けたデータ主体への通知の有無及び方法
「72時間」の起算
時計は侵害が発生した瞬間ではなく、管理者がそれを認識した瞬間から始まります。「認識」とは、インシデントが発生し個人データが影響を受けたという合理的な確度を要します。調査継続中で初回通知が不完全な場合、AEPDは段階的な通知を認めています ── 72時間以内に把握している情報で初回通知を行い、新たな情報が判明次第、補足を提出します。
データ主体への通知が必要な場合
第34条は、パスワード、財務データ、公的身分証明情報、特別なカテゴリーのデータが関わる場合、あるいは影響を受けたデータが本人特定盗用や詐欺を可能にする恐れがある場合など、侵害が高いリスクをもたらす場合に限り、データ主体への直接通知を要求します。この通知は明確かつ平易な言葉で行い、AEPD通知と同じ重要情報を含まなければなりません。
侵害対応プレイブックのヒント:AEPDのフォーム項目、事前に作成した顧客向けメールテンプレート(スペイン語)、そして72時間の時計を管理する明確な担当者を含む、文書化された内部インシデント対応計画を用意してください。ほとんどの執行措置は侵害そのものよりも、期限内の通知漏れから生じています。侵害対応プレイブックのテンプレートを見る →
8. 越境データ移転 ── SCC、十分性認定、TIA
なぜ移転が制限されているのか
RGPD第5章(第44〜50条)は、RGPDが保証する保護水準が損なわれないよう、欧州経済領域(EEA)域外への個人データの移転を制限しています。eコマースサイトにとって、これは最も見落とされがちなコンプライアンス領域のひとつです ── 米国のアナリティクス、米国のメールマーケティング、米国のCRM、米国のチャットウィジェットなど、EU域外のSaaS事業者は潜在的に第5章の分析対象となります。
6つの法的な仕組み
- 十分性認定(第45条) ── 欧州委員会が、その第三国はRGPDと実質的に同等の保護水準を提供していると認定したもの。現在は英国、スイス、日本、韓国、イスラエル、ニュージーランド、アルゼンチン、カナダ(商業部門)、及びEU-米国データプライバシーフレームワーク(DPF)認証を受けた米国事業者に限り、米国が対象です。
- 標準契約条項 — SCC(第46条2項c号) ── 2021年6月に欧州委員会決定2021/914で採択された最新版のSCC。4つのモジュール:C2C、C2P、P2P、P2C。十分性認定のない国への移転には必須。
- 拘束的企業準則 — BCR(第47条) ── 主導監督機関の承認を受けた、多国籍企業グループ内での移転のための内部規範。
- 承認された行動規範または認証の仕組み(第46条2項e号〜f号)
- 特別な契約条項(第46条3項) ── 監督機関の認可が必要
- 特別な適用除外(第49条) ── 明示的な同意、契約履行の必要性、重要な公共の利益。狭く解釈され、日常的な移転には適さない。
Schrems II判決と移転影響評価(TIA)
2020年7月16日のCJEU(EU司法裁判所)によるSchrems II判決を受け、十分性認定のない国(特にDPF対象外の米国)へのデータ移転にSCCを利用する管理者は、移転影響評価(TIA)を実施しなければなりません。TIAは以下を評価します。
- 移転先国の法律が、EUの基本的権利と相容れない形で個人データへのアクセスを認めているかどうか
- SCCの契約上の保護措置が、そのようなギャップを補うのに十分かどうか
- EUが管理する鍵による暗号化、仮名化、分割処理などの補完的措置が必要かどうか
EDPBの推奨事項01/2020(補完的措置に関する)は、実務上の参照基準であり続けています。文書化されたTIAは「あれば望ましい」ものではなく ── AEPDは査察の際に管理者にTIAの提出を明示的に求めています。
2026年の実務上のベンダー体系
| ベンダーカテゴリー | 2026年の仕組み | TIAが必要か? |
|---|---|---|
| Google Analytics 4(米国、DPF認証済み) | EU-米国DPFによる十分性認定 | 簡易レビュー |
| AWS/Azure/Google Cloud(EUリージョン) | EU内保存、サポートアクセスにはSCC | サポートフローについては必要 |
| Mailchimp/SendGrid(米国) | 認証済みならDPF、それ以外はSCC+TIA | DPF未認証の場合は必要 |
| 英国のSaaS(Hotjarなど) | 英国の十分性認定 | 簡易レビュー |
| DPF未認証の米国ベンダー | SCC+補完的措置+完全なTIA | 完全に必要 |
9. AEPDの制裁金2026年版 ── 最大2000万ユーロまたは全世界売上高4%
二段階の制裁制度
RGPD第83条は行政制裁金について2つの上限を定めており、AEPDはこれを厳格に適用します。
LOPDGDDのスペイン独自レイヤー ── 第70条以降の分類
LOPDGDDは違反を非常に重大、重大、軽微に再分類し、それぞれ時効期間を3年、2年、1年と定めています(第72〜74条及び第78条)。これはスペイン特有の仕組みです:RGPDの上限に加え、LOPDGDDは独自の手続き枠組みを課しており、これがAEPDの制裁金算定方法及び被処分者が時効を援用できるかどうかに影響します。
加重・軽減事由(RGPD第83条2項)
AEPDは制裁金を決定する際、11の要素を考慮します:違反の性質、重大性及び継続期間、故意または過失の性質、講じられた軽減措置、責任の程度、過去の違反歴、監督機関への協力、影響を受けた個人データのカテゴリー、監督機関が違反を認知した経緯、過去に命じられた是正措置への遵守状況、行動規範や認証への適合、及びその他の加重または軽減事由です。
近年の執行傾向
特定の決定事例を挙げないまま述べると、2024〜2026年のAEPDの執行における重点分野は以下の通りです。
- 同等の『拒否』ボタンを備えないクッキーバナー ── 3万〜10万ユーロの範囲で繰り返し制裁が科されており、大規模プラットフォームにはより高額な事例も
- 有効な同意なしに送信された無許可の商業コミュニケーション ── LSSI-CEとRGPDの違反を組み合わせて認定されることが多い
- 認証情報や決済データに関わるデータ侵害 ── 通知が遅延または欠如していた場合に制裁金が急激に増加
- TIAを行わない越境移転 ── 米国アドテックベンダーが関わる決定で言及が増加
- 1か月以内にデータ主体アクセス請求に対応しなかった事例 ── 件数は多いが個々の制裁金額は比較的低いカテゴリー
LOPDGDD第76条2項による中小企業への緩和措置
LOPDGDDには中小企業に配慮した規定が含まれています:違反の重大性が低く、管理者が中小企業であり、AEPDが定める期限内に是正計画が実施される場合、AEPDは制裁金の代わりに注意(apercibimiento)を発することができます。これは小規模eコマース事業者の初回違反に広く適用されますが、被処分者側の申立てで要請する必要があり、AEPDの裁量に委ねられています。
🛡️ AEPDによる最も高くつくミスを回避する
Zunaproのスペイン向けコンプライアンスモジュールは、査察官が訪れる前に、クッキーバナー、RAT登録簿、DSR対応時間、TIA文書をAEPDの2024年公式基準に照らしてチェックします。
10. eコマース コンプライアンスチェックリスト2026 ── ステップバイステップ
AEPD対応12項目チェックリスト
新規にスペインのオンラインショップを立ち上げる場合でも、既存のショップを監査する場合でも、以下の12項目が2026年に求められるAEPD対応の最低限のチェックリストです。
- プライバシーポリシー(Política de Privacidad)を全ページのフッターに掲載し、階層的な情報提供によりRGPD第13条/第14条を満たす。
- LSSI-CE第10条に基づく法的告知(Aviso Legal) ── 事業者の身元、税務登録番号(NIF)、連絡先、登記情報、職業上の認可情報の記載。
- 『同意する』『拒否する』『設定する』を同じ視覚レベルで表示し、粒度の高いカテゴリー選択、事前チェックなし、すべてのページに撤回コントロールを備えたクッキーバナー。
- 各クッキーの目的、期間、第三者提供先を詳細に記載し、技術の変化に合わせて常に最新化するクッキーポリシーページ。
- RGPD第30条に基づく処理活動記録(RAT — Registro de Actividades de Tratamiento) ── 処理活動(顧客、注文、マーケティング、サプライヤー、従業員)ごとに1エントリー。
- LOPDGDD第34条の分野またはRGPD第37条のトリガーに該当する場合、選任及びAEPDへの通知が済んだデータ保護責任者(DPO)。
- スペインで商品・サービスを提供するEU域外の管理者向けに書面で指定されたEU代理人(RGPD第27条)。
- 少なくともメールアドレス及びウェブフォーム、内部ログ、1か月のSLAを備えたデータ主体請求(DSR)対応チャネル。
- 担当者、AEPDのフォーム項目に沿ったテンプレート、顧客通知テンプレート、72時間の時計を備えた侵害対応計画。
- すべての第三者とのベンダー/処理者契約(RGPD第28条) ── 各社とのDPA(データ処理契約)。
- SCCモジュールの締結、十分性認定のない国に対するTIAの実施、必要に応じた補完的措置の適用を含む国際移転文書。
- RGPDの基礎、クッキー対応、フィッシング意識、内部侵害報告手順を網羅する、少なくとも年1回の文書化されたスタッフ研修。
実装の順序
- 第1週 — 棚卸し:すべてのフォーム、すべてのクッキー、すべてのベンダー、処理されるすべての個人データの種類をリストアップします。これによりRATが構築され、すべての移転が特定されます。
- 第2週 — 文書作成:プライバシーポリシー、法的告知、クッキーポリシー、DPAテンプレート、侵害対応計画を作成または更新します。
- 第3週 — 技術対応:準拠したクッキーバナーを実装し、DSRウェブフォームを実装し、侵害対応通知チェーンを設定します。
- 第4週 — 研修と承認:顧客対応スタッフ全員を研修し、経営陣にパッケージを提示して正式な承認を得て、次回の年次見直しを予定します。
一元化が重要な理由
スペインのeコマースは頻繁にShopify/WooCommerce/PrestaShop+マーケットプレイス(アマゾンES、AliExpress、エル・コルテ・イングレス)+マーケティングツール+物流+決済のスタックで稼働しています。それぞれのツールが個人データを収集、保存、共有する可能性があり、それぞれのツールがRAT、プライバシーポリシー、国際移転分析の対象とならなければなりません。これをスプレッドシートで手動管理しようとすることが、最もよくある失敗パターンです。
Zunaproは、接続されたすべてのチャネルにわたるコンプライアンスレイヤーを一元化します:1つのマスターRAT、1つのマスタープライバシーポリシーテンプレート、1つのクッキー同意ログ、1つのDSR受信箱、1つの侵害登録簿。最終的に書類の提出を求めるAEPDの査察官は、12種類のツールから出力された12種類の異なるファイルではなく、1つの一貫したファイルを受け取ることになります。
スペインのeコマース向けにRGPD対応を一元化
プライバシーポリシー生成ツール · クッキーバナーv2 · RAT登録簿 · DSR受信箱 · 侵害対応プレイブック · TIAテンプレート · 国際移転マトリクス ── 既存のShopify、WooCommerce、PrestaShop、アマゾンES、AliExpress、エル・コルテ・イングレスの各チャネルにすべて連携します。
無料コンプライアンス監査を実行 →スペインのデータ保護に関するFAQ 2026
スペインのRGPDはGDPRと同じものですか?
はい。RGPD(Reglamento General de Protección de Datos)は単に、EU全域及び欧州経済領域に適用される規則(EU)2016/679のスペイン語名称です。
スペインでは、国内法であるLOPDGDD(個人データ保護及びデジタル権利保証に関する組織法3/2018)によって補完され、AEPD(スペインデータ保護庁)が監督を行います。LOPDGDDは、第10編のデジタル権利や16の強制的DPO対象分野など、スペイン独自の特徴を追加しています。
AEPDとは何ですか、どのような権限を持っていますか?
AEPD(スペインデータ保護庁)は1993年に設立された、マドリードのJorge Juan通り6番地に本部を置くスペインの国家データ保護監督機関です。コルテス・ヘネラーレスに報告する独立した公法上の機関です。
AEPDは苦情を調査し、現地査察を実施し、拘束力のある決定を発出し、RGPD第83条に基づき最大2000万ユーロまたは全世界年間売上高の4%までの行政制裁金を科すことができます。年間の決定件数において、EU域内で常に最も活発な監督機関のひとつです。
スペインのeコマースにクッキー同意バナーは必須ですか?
はい。スペインのeコマースサイトは、非必須クッキー(アナリティクス、広告、ソーシャル、マーケティング)を設置する前に、事前の、十分な情報に基づく、粒度の高い、自由意思による同意を取得しなければなりません。
AEPDのクッキー利用ガイドライン(2024年1月改訂)は、クッキーウォール、事前チェック済みボックス、及び『閲覧継続=同意』という扱いを明確に禁止しています。『同意する』と同じ視覚レベルの『拒否』ボタンが必須であり、クッキーカテゴリーごとの粒度の高いコントロール、及びすべてのページでの撤回の仕組みも必要です。
スペインのオンラインショップでプライバシーポリシーはいつ必要ですか?
常に必要です。氏名、メール、住所、IPアドレス、決済データなど個人データを扱うスペインのeコマースサイトはすべて、全ページからアクセス可能な形で、RGPD第13条及び第14条並びにLOPDGDD第11条を満たすプライバシーポリシー(Política de Privacidad)を公開しなければなりません。
管理者の特定、処理目的、それぞれの法的根拠、保存期間、データ提供先、国際移転、自動意思決定、そしてAEPDへの苦情申立権を含む8つのRGPDの権利を明記しなければなりません。
自分のeコマースにデータ保護責任者(DPO)の選任は必要ですか?
データ保護責任者(Delegado de Protección de Datos、DPD)は、中核業務がデータ主体の大規模かつ組織的な監視、または特別なカテゴリーのデータの大規模処理を伴う場合、RGPD第37条により選任が義務付けられます。
LOPDGDD第34条は、規模を問わずDPOの選任が義務付けられるスペイン独自の16分野を列挙しています ── 信用情報事業者、賭博、医療、保険、電気・ガス供給事業者、及び大規模なユーザープロファイルを構築する情報社会サービス事業者を含みます。多くの小規模B2Cショップは法的義務の対象外ですが、AEPDは義務がない場合でもデータ保護に関する社内の連絡窓口を指定することを推奨しています。
RGPDのもとで顧客はどのような権利を持っていますか?
スペインの顧客は8つのRGPDの権利を行使できます:アクセス権(第15条)、訂正権(第16条)、消去権/『忘れられる権利』(第17条)、処理制限権(第18条)、データポータビリティ権(第20条)、異議申立権(第21条)、プロファイリングを含む完全に自動化された意思決定のみに服さない権利(第22条)、そしてAEPDへの苦情申立権(第77条)です。
さらにLOPDGDD第10編はスペイン独自のデジタル権利を認めています:デジタル遺言、職場でのデジタル切断権、インターネット中立性、インターネット上の訂正権、及びオンラインでの未成年者保護です。管理者は1か月以内に対応し、複雑な請求の場合は正当な理由を通知した上で2か月延長できます。
データ侵害が発生した場合、AEPDへの通知期限はどのくらいですか?
RGPD第33条により、管理者が侵害を認識した時点から72時間以内です。通知はsede.aepd.gob.esにあるAEPDのオンラインフォーム「セキュリティ侵害通知(Notificación de Brechas de Seguridad)」を通じて行います。
侵害が自然人の権利及び自由に対して高いリスクをもたらす場合、影響を受けるデータ主体にも不当な遅延なく直接通知しなければなりません(第34条)。調査が継続中の場合は段階的な通知が認められています ── 72時間以内に把握している情報を提出し、後日補足してください。遅延は正当化され、文書化される必要があります。
顧客データをEU域外へ移転することはできますか?
可能ですが、RGPD第5章に基づく適切な保護措置が必要です。有効な仕組みは以下の通りです:十分性認定(英国、スイス、日本、認証を受けた米国事業者向けのEU-米国データプライバシーフレームワーク)、決定2021/914による標準契約条項(SCC)、拘束的企業準則、または狭く限定された第49条の適用除外です。
CJEU(EU司法裁判所)によるSchrems II判決(2020年7月)以降、管理者は十分性認定のない国への移転について移転影響評価(TIA)も実施し、現地の監視法制を評価した上で、EUが管理する鍵による暗号化、仮名化、分割処理などの補完的措置を適用する必要があります。
2026年のAEPDの最大制裁金はいくらですか?
RGPD第83条は2つの階層を定めています:RAT、DPO選任、侵害通知などの手続き上の違反には最大1000万ユーロまたは全世界年間売上高の2%(いずれか高い方)、違法な処理、同意の不適切な取り扱い、データ主体の権利の無視、不適切な国際移転などの実質的違反には最大2000万ユーロまたは全世界年間売上高の4%(いずれか高い方)です。
AEPDは大手航空会社、銀行、デジタルプラットフォームに数百万ユーロ規模の制裁金を科しており、2024〜2026年にはクッキー及び移転に関する違反で大手eコマースやアドテック事業者にも制裁を科しています。
EU域外からスペインへ販売する場合、EU代理人は必要ですか?
ほとんどの場合、はい。EU域外の管理者または処理者がEU域内の個人に商品・サービスを提供する、またはその行動を監視する場合、RGPD第27条により、データ主体が所在するいずれかの加盟国に設立されたEU代理人を書面で指定することが義務付けられます。
この代理人はAEPD及びデータ主体の窓口となり、プライバシーポリシーに公開しなければなりません。一般的な例外は、大規模な特別カテゴリーまたは犯罪関連データを含まない散発的な処理、及び公的機関です。
販売後、顧客データはどのくらいの期間保持できますか?
収集目的に必要な期間のみです(RGPD第5条1項e号、保存期間制限の原則)。スペインのeコマースにおける一般的な保持期間は、注文及び税務記録が6年(商法第30条及び一般税法第66条)、動産に関する保証・消費者クレームが3年(TRLGDCU第120条)、マーケティング同意は撤回されるまで、防犯カメラ映像は原則30日(法的請求に必要な場合を除く)です。
保持期間終了後、データは削除または完全に匿名化しなければなりません。「匿名化」は不可逆的でなければならず、仮名化ではRGPDの適用を免れるには不十分です。
LSSI-CEとRGPDの違いは何ですか?
LSSI-CE(情報社会サービス及び電子商取引に関する法律34/2002)は、スペインにおける情報社会サービス ── 法的告知(Aviso Legal)、商業コミュニケーション、クッキー(第22条2項)、事業者の身元表示 ── を規制します。
RGPD及びLOPDGDDは個人データの処理 ── 原則、法的根拠、権利、侵害通知、移転、制裁 ── を規制します。
両法はクッキー同意の分野で大きく重なっており、LSSI-CE第22条2項が同意要件の法的根拠となり、RGPDが「有効な同意」の定義を示します。いずれもAEPDが実際に執行しており、1回の査察で両方の制度に基づく違反が同時に指摘されることも珍しくありません。
小規模ショップでも処理活動記録(RAT)の登録は必要ですか?
はい。RGPD第30条は、すべての管理者(及びすべての処理者)に処理活動記録(Registro de Actividades de Tratamiento、RAT)の保持を義務付けています。従業員250人未満の組織には部分的な適用除外がありますが、処理がデータ主体にリスクをもたらす可能性がある場合、散発的でない場合、または特別なカテゴリーのデータを含む場合には適用されません。eコマースの処理は性質上、散発的ではないため、実務上この適用除外はほとんど機能しません。
RATは電子的な形式を含め書面で保持し、AEPDの求めに応じて提供できる状態にしておかなければなりません。AEPDのオンラインツールFacilita_RGPDは、小規模組織向けに基本的なRATテンプレートを無料で生成します。
Zunaproでスペインの RGPD対応を導入するのにどのくらい時間がかかりますか?
自社データを事前入力したクッキーバナー、プライバシーポリシー、法的告知、クッキーポリシーのテンプレート、DSR受信箱、侵害対応プレイブックの展開にはおおよそ1営業日かかります。RAT登録簿は各種コネクタ(Shopify、WooCommerce、アマゾンES、AliExpress、マーケティングツール、決済処理業者)から自動的に生成され、2日目にはレビュー可能な状態になります。
Zunaproのオンボーディングウィザードは、接続されたすべてのチャネルを該当するRATエントリーにマッピングし、国際移転を特定し、SCCモジュールを提案し、TIAテンプレートを準備します ── そのため、AEPDの査察官が訪れる前に、コンプライアンスファイルは監査対応可能な状態になっています。
数か月ではなく数日で、スペインのeコマースをAEPD対応にする
プライバシーポリシー · 法的告知 · クッキーバナーv2 · RAT登録簿 · DSR受信箱 · 72時間侵害対応プレイブック · TIAマトリクス · 国際移転ログ ── Shopify、WooCommerce、PrestaShop、アマゾンES、AliExpress、エル・コルテ・イングレスの各チャネルにすべて連携します。
🛡️ RGPD対応を今すぐ開始 →