GDPR | 用語解説

🔖 キーワード索引

EU個人データ同意Right to be forgottenDPOプライバシー罰金Schrems IIEEA越境移転

別名・略称：（なし）

💡 30秒で分かる結論

GDPR（General Data Protection Regulation）：EU 一般データ保護規則

GDPR (General Data Protection Regulation)＝EU の一般データ保護規則。 2018 年 5 月施行。
個人データを扱う全企業（EU 居住者のデータを処理するなら世界中）が対象。
違反時の罰金は 全世界年商の 4% または 2,000 万ユーロのいずれか高い方。
主要権利：同意、 削除権（忘れられる権利）、 データポータビリティ。
データを EU 外に移す（越境移転）には十分性認定や SCC が必要。

📍 あなたが今見ているもの

EU 居住者の個人データを扱う すべてのデータサイエンス業務 が GDPR の対象です。名前、メアド、 IP アドレス、 cookieID も個人データ。日本企業も EU 顧客のデータを処理する場合は適用対象。 2024 年以降、 EU AI Act も加わり、 AI モデルの説明可能性・公平性も求められます。

🎨 直感で掴む

GDPR が守る個人の権利

情報を受ける権利：何の目的でデータが使われるか開示
アクセス権：自分のデータを見せろと請求できる
訂正権：誤りを修正させる
削除権（忘れられる権利）：データを消させる
処理制限権：処理の一時停止を求める
データポータビリティ：他社にデータを移行する権利
異議申立て権：処理に反対する
自動意思決定からの保護：AI による自動判定だけで重要な決定を受けない

📐 定義 / 数式

GDPR は法律で、数式はない。規制の構造を表すと：

【処理の合法性根拠（Article 6）】

$$\text{合法的処理} \Leftrightarrow \text{以下の 1 つ以上を満たす}$$

本人の同意
契約履行に必要
法的義務の遵守
個人の重大な利益保護
公益または公的権限の行使
正当な利益（バランステスト必要）

🔬 記号・式を言葉で読み解く

個人データ: 識別可能な自然人に関する一切の情報。名前、 ID、位置情報、 cookie、生体情報、など。
センシティブデータ: 人種、政治、宗教、健康、性別など。通常処理禁止、例外で同意必要。
管理者（Controller）: 処理の目的と手段を決める者。主体的責任。
処理者（Processor）: 管理者の指示で処理する者（クラウド事業者など）。
DPO: Data Protection Officer。大規模処理組織で任命義務。

🧮 実データで計算してみる

違反時の罰金額計算例：

軽微な違反（記録義務違反など）：最大 1,000 万ユーロまたは全世界年商の 2%
重大な違反（同意なし処理、越境移転違反）：最大 2,000 万ユーロまたは全世界年商の 4%

実例：Meta（旧Facebook）に 12 億ユーロ の罰金（2023年、米国への越境移転）。

🐍 Python 実装

SSDSE-B-2026（47 都道府県・2023 年データ）を題材にした最小コード：

# GDPR 対応の最低限：個人情報を匿名化する例
import pandas as pd
import hashlib

df = pd.read_csv('data/raw/customer_data.csv', encoding='utf-8')

# メアドをハッシュ化（一方向）
df['email_hash'] = df['email'].apply(
    lambda x: hashlib.sha256(x.encode()).hexdigest()
)
df = df.drop(columns=['email', 'name', 'phone'])  # PII 削除

⚠️ よくある落とし穴

⚠️ 同意取得が不十分

デフォルトでチェック済みのチェックボックスは無効。明示的なオプトイン必要。

⚠️ 越境移転を見落とす

AWS US リージョンへのデータ保存も「移転」。 SCC や十分性認定が必要。

⚠️ 削除要求への対応漏れ

削除権の要求は 1 ヶ月以内に対応。バックアップからも削除。

⚠️ 第三者ツールの責任

Google Analytics などの組み込みも処理者の選定責任が及ぶ。

⚠️ 匿名化と仮名化の混同

ハッシュ化は仮名化（GDPR 対象のまま）。完全匿名化は再特定不可が条件。

🌐 関連手法・この用語を使う論文

📄 個人情報を扱う研究

GDPR は公的データを使う論文では直接関係ありませんが、顧客データ分析の前提知識として重要。

🔎 GDPR ── 深掘り解説

GDPR (General Data Protection Regulation) は 2018 年 5 月施行の EU データ保護法。 EU 域内に所在する個人のデータを扱う者すべてに適用され、違反時の制裁金は世界年商の 4% または 2,000 万ユーロのいずれか高い方。

🔖 キーワード索引（拡張）

GDPREUデータ保護個人データデータ主体コントローラープロセッサーDPOLawful BasisConsentArticle 17忘れられる権利データ移転EEA越境移転適切性決定

💡 もう少し詳しく

適用範囲：EU 内の個人の個人データを取り扱う、 EU 域外の組織も含む
6つの適法根拠：同意・契約・法的義務・重要な利益・公共の利益・正当な利益
主要権利：アクセス権、訂正権、消去権、処理制限権、ポータビリティ権、異議申立権
日本との関係：2019 年に「十分性認定」を取得し、個人情報の EU→日本の越境移転が緩和

📐 制裁金の計算

$$ \text{制裁金上限} = \max(20{,}000{,}000 \text{ EUR}, \; 0.04 \times \text{世界年商}) $$

🧮 GDPR 6 条適法根拠の比較

条文	根拠	SSDSE で該当する場合
6.1.a	同意	アンケート再収集時
6.1.b	契約履行	該当少
6.1.c	法的義務	統計法
6.1.e	公共の利益	学術・教育
6.1.f	正当な利益	研究分析

🐍 Python : 個人情報スキャン

# 個人情報が含まれていないかチェック
import pandas as pd
df = pd.read_csv('data/raw/SSDSE-B-2026.csv', encoding='utf-8', skiprows=1)
personal_keys = ['name','email','phone','address','dob']
found = [c for c in df.columns if c.lower() in personal_keys]
print('個人特定列:', found or 'なし — 集計値のみ')

🐍 Python : k-匿名性確認

# k-匿名性の最小サイズを確認
min_group = df.groupby('Prefecture').size().min()
print(f'最小グループサイズ k = {min_group}')
# 都道府県単位は k=1 だが、 各セル値が集計値なのでリスクは低い

🐍 Python : 仮名化（pseudonymization）

# 仮名化（pseudonymization）の例
import hashlib
df['hash'] = df['Prefecture'].apply(
    lambda s: hashlib.sha256(s.encode()).hexdigest()[:8])
print(df[['Prefecture','hash']].head())

🐍 Python : 保持ポリシー宣言

# データ保持期間ポリシー
policy = {
    'data': 'SSDSE-B-2026',
    'retention_days': 365 * 5,
    'purpose': 'education',
    'lawful_basis': 'public interest (Article 6.1.e)',
}
print(policy)

⚠️ 落とし穴

❌ 「日本企業だから関係ない」

EU の個人の行動を監視・追跡する処理（Cookieによるトラッキング等）に該当すれば域外適用されます。

❌ Cookie 同意の機能不足

「すべて受け入れる」と同等に簡単な「すべて拒否」ボタンが必要です。一部国の DPA は強制執行しています。

❌ バックアップからの削除漏れ

「忘れられる権利」要求への対応は本番 DB だけでなくバックアップ・ログ・分析環境も含めて整理する必要があります。

❌ 曖昧な同意

事前に列挙されていない目的での再利用は新たな同意を要します。

📚 補足資料 — FAQ／追加コード／背景

FAQハンズオンSSDSE-BPython事例研究データ駆動教育

❓ よくある質問 (FAQ)

GDPR と CCPA の違いは？

CCPA（カリフォルニア）はオプトアウト中心、 GDPR は原則オプトイン。制裁金や権利の体系も異なります。

日本企業は GDPR の対象？

EU の個人を対象に商品・サービスを提供、または行動を監視する場合は対象。越境転送ルールにも注意。

DPO（データ保護責任者）は必須？

公的機関、大規模監視、機微情報の処理がある場合は必須。それ以外でも任意で配置することが推奨されます。

Cookie 同意バナーは GDPR の要求？

厳密には ePrivacy 指令ですが、 GDPR の有効同意要件と組み合わせて運用されます。

制裁金の実例は？

Meta 12 億ユーロ（2023, データ越境転送）、 Amazon 7.46 億ユーロ（2021）、 Google 5,000 万ユーロ（2019）。

🧪 SSDSE-B-2026 を使った追加計算例

項目	SSDSE での扱い	GDPR 観点
個人特定	不可（集計）	リスク低
利用目的	教育・研究	Article 5.1.b
保存期間	対応必要	Article 5.1.e
透明性	出典明示	Article 12-14
第三者提供	派生分析共有	Article 13

🐍 さらにコードを書く

DSR（データ主体要求）ログ

import pandas as pd, datetime
dsr = pd.DataFrame([
    {'id':1,'type':'access','at':'2026-04-01','status':'done'},
    {'id':2,'type':'erasure','at':'2026-04-15','status':'in_progress'},
])
print(dsr)

国境を越える移転の判定

import pandas as pd
df = pd.read_csv('data/raw/SSDSE-B-2026.csv', encoding='utf-8', skiprows=1)
destinations = ['JP','US','EU','SG']
for d in destinations:
    needs_scc = d not in ['JP'] and d != 'EU'
    print(f'to {d} : SCC required = {needs_scc}')

k-匿名性簡易チェック

1 2	k = df.groupby('Prefecture').size().min() print(f'最小グループサイズ k={k} (集計データなのでリスク低)')

💡 実務的アドバイス

privacy notice を常に最新版へ更新し、利用目的の変更時に再同意取得を検討。
DPIA を Article 35 の対象処理（プロファイリング、大規模監視等）に必ず実施。
Records of Processing Activities (ROPA) を Article 30 に従って整備。
GDPR は罰則だけでなく 個人による集団訴訟も増えています。評判リスクにも備えを。

🕰 歴史的背景・発展経緯

GDPR は 2016 年 4 月採択、 2 年間の準備期間を経て 2018 年 5 月 25 日に施行。 1995 年のデータ保護指令（95/46/EC）を全面更新したものです。

EU は 2024 年に AI Act を採択し、 GDPR と相互補完する形で AI に関する追加規制を整備。さらに DSA（Digital Services Act）、 DGA（Data Governance Act）も施行。

日本との関係では、 2019 年に「十分性認定」を相互に取得し、 EU→日本の個人データ移転が緩和。 2023 年に再評価され、引き続き有効と認められました。