ooligo
JA
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
購読する
ツール 比較 ワークフロー スタック 学ぶ
業種
RevOps Legal Ops Recruiting & TA
言語
English Español Português (Brasil) 日本語 Français Deutsch
GitHub 購読する
ENTRY TYPE · definition

法務チームのためのGDPR

Last updated 2026-05-03 Legal Ops

一般データ保護規則(GDPR)は、2018年から施行されているEUの基本的なプライバシー法であり、EU/EEA居住者の個人データの収集・使用・保存・共有を規制します。法務チームにとって、GDPRには2つの側面があります。(a) チーム自身のデータ処理(従業員データ、ベンダーコンタクト、クライアントレコード)、および (b) GDPRコンプライアンスに関するクライアントへのアドバイザリー業務。英国GDPRはBrexit後も実質的に同一です。同等の体制(ブラジルのLGPD、カリフォルニアのCCPA/CPRA、カナダのPIPEDA)は同じ構造的パターンに従います。

個人データと6つの合法的根拠

GDPRは個人データを広く定義します——存命の人物を識別するか識別できる可能性のあるすべてのもの。氏名、メールアドレス、IPアドレス、従業員ID、写真、音声録音。

処理には6つの合法的根拠のうちの1つが必要です。

根拠典型的な使用
同意マーケティング、オプション機能
契約の履行サービス提供に必要な顧客データ
法的義務税務記録、規制報告
重要な利益緊急の生死(まれ)
公的タスク政府の処理
正当な利益B2B営業、セキュリティ、不正防止——データ主体の権利に対してバランスを取る

ほとんどのB2B法務チームのデータ処理は正当な利益(ベンダー管理、従業員記録)または契約の履行(クライアントサービス)に基づきます。同意は過剰に頼られており、同意は具体的・情報提供済み・自由に与えられ・撤回可能でなければならないため、頻繁に無効です。

8つのデータ主体の権利

GDPRは個人が行使できる権利を作り出します。

  1. アクセス — 処理中の個人データのコピーを取得する権利
  2. 訂正 — 不正確なデータを修正する権利
  3. 消去(「忘れられる権利」)— 特定の状況での削除の権利
  4. 制限 — 紛争解決中の処理を制限する権利
  5. ポータビリティ — 機械可読形式でデータを受け取る権利
  6. 異議申し立て — 正当な利益に基づく処理に異議を申し立てる権利
  7. 自動化された意思決定 — 自動的な決定のみに従わない権利
  8. 同意の撤回 — 同意が根拠だった場合

法務チームは各リクエストタイプのワークフローを文書化し、デフォルトで30日間の応答期限(限られた状況で延長可能)を設ける必要があります。

国際データ移転

個人データはEEAから適切な保護措置なしに出ることはできません。2026年時点で利用可能なメカニズム:

  • 十分性認定 — その国が適切な保護を有するというEUの国別判断。現在は英国、スイス、イスラエル、日本、カナダ(商業)、韓国、米国(制限付きデータプライバシーフレームワーク)を含む。
  • 標準契約条項(SCC) — データインポーターにGDPR同等の義務を課すEU承認の契約条件。2021年に更新、2010年版は無効。
  • 拘束的企業規則(BCR) — 多国籍組織内のグループ内移転のため、規制当局の承認が必要。
  • 特定の免除 — 限定的な例外(特定の移転に対する明示的な同意、契約の履行、重要な公共利益)。

Schrems II(2020年)以降、いかなるメカニズムの使用も移転先国の監視法とデータアクセス体制を考慮した移転影響評価(TIA)を必要とします。

法務チームが直接担当すること

Legal Opsが担当する3つのワークフロー:

  1. ベンダーおよび処理者管理。 個人データを処理するすべてのベンダーとのDPA、下請処理者のフローダウン、国際移転メカニズムの文書化。
  2. データ主体リクエストへの対応。 DSARの受信、身元確認、システム全体のデータ収集、免除(法的特権、第三者データ)のレビュー、期限内の回答。
  3. 侵害通知。 チームまたはそのベンダーが侵害を経験した場合、72時間以内(必要な場合)の規制当局への通知と、個人への高リスクな場合の通知。

よくある落とし穴

  • GDPRを一度限りのプロジェクトとして扱う。 初期コンプライアンス作業は有限です。継続的な運用(DSAR、ベンダーオンボーディング、侵害対応)は継続的です。
  • 誤った合法的根拠の選択。 多くの企業が「正当な利益」が実際の根拠であるときに「同意」を引用します。間違った根拠は処理全体が違法であることを意味します。
  • 移転メカニズムの更新を無視する。 SCCは2021年に更新されましたが、多くの既存のDPAはまだ無効な2010年版を参照しています。再交渉が必要です。
  • DSARの対応プロセスがない。 最初のDSARが届いたとき、プロセスを持たないチームは急いで対応します。リクエストの前にプレイブックを構築してください。
  • 法的特権免除分析の欠如。 特権的な弁護士-クライアントコミュニケーションはDSAR開示から免除される場合があります。分析なしには、チームは過剰または過少に開示します。
  • GDPRとEU AI法を混同する。 異なる体制、異なる義務、AIが個人データを処理する場合は両方が適用されます。

関連

GitHubでこのページを編集