GDPRが初の大幅改革へ——SME免除を750人規模に拡大
2018年5月の施行以来、世界のデータ保護規制の「ゴールドスタンダード」として君臨してきたGDPR(EU一般データ保護規則)が、ついに初の大幅改革を迎えようとしている。欧州委員会は2026年第1四半期に「デジタルパッケージ提案」の一環としてGDPR改正案を提示し、処理活動記録(ROPA)の義務免除対象を従業員250人未満から750人未満へと大幅に引き上げる方針を打ち出した。
この改革は、EU域内の約150万社の中堅企業にとって、年間数万ユーロ規模のコンプライアンスコスト削減を意味する。一方で、データ保護の水準が下がるのではないかという懸念の声も上がっている。本記事では、改革の全容から日本企業への影響まで、実務担当者が押さえるべきポイントを詳細に解説する。
GDPRの現行制度と課題——なぜ改革が必要なのか
GDPRは2016年に採択され、2018年5月25日に施行された。域外適用(EU市民のデータを扱うすべての組織に適用)という画期的な仕組みにより、世界中の企業がその対象となった。施行から約8年が経過した現在、いくつかの構造的な問題が顕在化している。
中小企業への過大な負担
GDPRは従業員数や売上規模に関係なく、原則としてすべての組織に同一の義務を課す。処理活動記録(ROPA)の作成・維持、データ保護影響評価(DPIA)の実施、データ保護責任者(DPO)の任命など、大企業と同じレベルのコンプライアンスが中小企業にも求められてきた。
欧州委員会の調査によれば、従業員50〜249人規模の企業がGDPRコンプライアンスにかける年間コストは平均**€120,000〜€180,000**に達する。これは売上高比で見ると大企業の2〜3倍の負担率に相当し、特にスタートアップやテック系中小企業の成長を阻害する要因として批判されてきた。
越境執行の非効率性
GDPRには「ワンストップショップ(One-Stop-Shop)」メカニズムがあり、EU域内で複数国に拠点を持つ企業は、主たる拠点のある加盟国のデータ保護当局(DPA)が「主監督当局(Lead Supervisory Authority)」として執行にあたる仕組みだ。しかし実際には、主監督当局と関係当局との間で意見の相違が頻発し、調査が数年にわたって停滞するケースが後を絶たない。
アイルランドのDPC(Data Protection Commission)がMetaに対する調査に5年以上を要した事例は、この問題の象徴だ。アイルランドにはGoogle、Apple、Meta、Microsoftなどの欧州本部が集中しているため、DPCには案件が殺到し、処理能力を超えている。
制裁金の偏り
2024年までにGDPRに基づいて科された制裁金の総額は約€45億に達するが、その大半は大手テック企業に対するものだ。Meta(旧Facebook)への€12億の制裁金が最大で、全体の制裁金の7割以上が上位10社に集中している。一方で、中小企業への制裁は金額こそ小さいものの、事業存続に関わるレベルのインパクトを与えることがあり、制裁金の「比例性」の問題が議論されてきた。
改革案の3大変更点
欧州委員会が提示した改革案には、主に3つの大きな変更が含まれている。
以下の図は、GDPR改革の主要変更点の全体像を示しています。
1. ROPA免除対象の拡大(250人 → 750人)
最大の変更点は、処理活動記録(Records of Processing Activities: ROPA)の作成義務の免除対象を、現行の従業員250人未満から750人未満に拡大することだ。
ROPAとは、組織がどのような個人データを、どのような目的で、どのような法的根拠に基づいて処理しているかを文書化した記録だ。具体的には以下の情報を含む必要がある。
- 管理者・処理者の名前と連絡先: 共同管理者がいる場合はその情報も含む
- 処理の目的: どのような目的でデータを処理するのか
- データ主体のカテゴリ: 顧客、従業員、サプライヤーなど
- 個人データのカテゴリ: 氏名、メールアドレス、IPアドレスなど
- 受領者のカテゴリ: データを共有する第三者
- 第三国への移転: EU域外へのデータ移転がある場合、その適切な保護措置
- データ消去の予定期限: いつデータを削除するか
- 技術的・組織的セキュリティ措置: 暗号化、アクセス制御などの概要
ROPAの作成と維持には、データフローの棚卸し、部門横断的なヒアリング、定期的な更新が必要であり、専任スタッフまたは外部コンサルタントの起用が事実上不可欠だ。中堅企業にとって、この作業は年間数万ユーロのコストに直結する。
ただし、免除にはいくつかの条件がある。「個人の権利と自由に対するリスクを伴うデータ処理」「データ処理が一時的でない場合」「特別カテゴリのデータ(健康情報、人種・民族データなど)を処理する場合」は、従業員数に関係なくROPAが引き続き義務付けられる。つまり、ヘルスケアや人材業界の企業は750人未満であってもROPA免除の恩恵を受けられない可能性が高い。
2. DPO(データ保護責任者)要件の緩和
現行のGDPRでは、以下の条件に該当する組織にDPOの任命が義務付けられている。
- 公的機関・団体
- 大規模な個人データの定期的・体系的な監視を行う組織
- 特別カテゴリのデータを大規模に処理する組織
改革案では、DPO任命義務の対象をより明確に限定し、SME(中小企業)が形式的にDPOを任命するだけのコストを削減する方向が示されている。具体的には、「大規模な処理」の定義を厳格化し、従業員750人未満の企業が通常の事業活動で行うデータ処理はDPO不要とする基準が検討されている。
3. 越境執行手続きの簡素化
GDPRの越境執行を効率化するため、「手続き規則(Procedural Regulation)」の採択が提案されている。この規則では以下の改善が盛り込まれる。
- 苦情処理のタイムライン統一: 主監督当局が調査を開始してから最終決定までの期限を明確化
- 暫定措置の権限強化: 緊急の場合に、関係当局が主監督当局の決定を待たずに暫定措置を取れるようにする
- 合意形成プロセスの効率化: 関係当局間の意見調整に明確な期限を設け、期限超過の場合はEDPB(欧州データ保護委員会)が最終判断を下す
これにより、MetaやGoogleなどの大手テック企業に対する調査が数年にわたって停滞する事態を防ぐことが期待されている。
デジタルパッケージ提案の全体像
GDPR改正は、欧州委員会が打ち出した「デジタルパッケージ提案」の一部にすぎない。このパッケージには、GDPR改正に加えて以下の施策が含まれている。
| 施策 | 概要 | 対象 |
|---|---|---|
| GDPR改正 | ROPA免除拡大、DPO要件緩和、越境執行簡素化 | EU域内全組織 |
| ePrivacy規則更新 | Cookie同意の簡素化、通信データ保護の強化 | 通信・ウェブサービス事業者 |
| AI Act統合ガイダンス | GDPRとAI規制法の整合性確保 | AIシステム開発・利用者 |
| デジタルサービス法(DSA)連携 | プラットフォーム規制とデータ保護の統合的執行 | オンラインプラットフォーム |
| 標準契約条項(SCC)更新 | 第三国移転の新スキーム | 国際データ移転を行う組織 |
欧州委員会は、このパッケージを通じて「規制の一貫性」と「中小企業の競争力確保」を両立させることを目指している。特にAI Act(EU AI規制法)が2026年に段階的に施行される中で、GDPRとの重複義務を整理することは急務だ。AI Actでは「ハイリスクAIシステム」にデータ品質管理やリスク管理が求められるが、これがGDPRのDPIAと重複する部分があり、企業にとっての混乱の原因となっている。
コンプライアンスコストへの影響
以下の図は、企業規模別のGDPRコンプライアンスコストと改革による削減効果の予測を示しています。
企業規模別の影響度
改革による恩恵が最も大きいのは、従業員250〜749人規模の中堅企業だ。この規模の企業は、現行制度では大企業と同等のコンプライアンス義務を負いつつ、専任チームを持つ余裕がないケースが多い。ROPA免除とDPO要件緩和の組み合わせにより、年間**€50,000〜€80,000**のコスト削減が見込まれる。
| 企業規模 | 現行の年間コスト(推定) | 改革後の予測コスト | 削減率 |
|---|---|---|---|
| 小規模(1〜49人) | €30,000〜€60,000 | €15,000〜€35,000 | 約45% |
| 中小企業(50〜249人) | €120,000〜€180,000 | €80,000〜€120,000 | 約35% |
| 中堅企業(250〜749人) | €200,000〜€350,000 | €140,000〜€250,000 | 約31% |
| 大企業(750〜4999人) | €350,000〜€800,000 | €320,000〜€740,000 | 約8% |
| 大規模企業(5000人以上) | €800,000〜€2,000,000+ | €770,000〜€1,950,000+ | 約3% |
注目すべきは、750人以上の企業にとっての改革のインパクトが限定的である点だ。これらの企業は引き続きフルスペックのGDPRコンプライアンスが求められるため、越境執行の簡素化による間接的な恩恵(調査期間の短縮による法務コスト削減など)にとどまる。
コスト構造の内訳
GDPRコンプライアンスコストの主な内訳は以下の通りだ。
- 人件費(DPO・プライバシーチーム): 全体の40〜50%
- 外部コンサルタント・法務費用: 全体の20〜25%
- 技術的措置(暗号化、アクセス制御、ログ管理): 全体の15〜20%
- トレーニング・啓発活動: 全体の5〜10%
- 文書化・監査(ROPA、DPIA含む): 全体の10〜15%
改革によりROPAが免除されると、文書化・監査コストの大部分が削減されるだけでなく、外部コンサルタントへの依存度も低下する。DPO要件の緩和と合わせて、人件費の削減効果も大きい。
各方面の反応——歓迎と懸念
産業界の歓迎
欧州のSME業界団体であるSMEunited(欧州中小企業連合)は、改革案を「長年の要望が実現した歴史的な一歩」と歓迎している。同団体の代表は、「GDPRのコンプライアンス負担が中小企業のデジタル化を阻害してきたことは明白。750人規模への免除拡大は、EU経済の99%を占める中小企業の競争力回復に直結する」と述べた。
テック業界からも好意的な反応が出ている。DigitalEurope(欧州デジタル業界団体)は、越境執行の簡素化について「企業にとっての法的予見可能性が向上する」と評価した。
プライバシー擁護派の懸念
一方で、EDPS(欧州データ保護監督機関)やnoyb(プライバシー擁護NPO、マックス・シュレムス氏が設立)などは、改革に対する懸念を表明している。
noybのマックス・シュレムス氏は「ROPA免除の拡大は、データ保護の実効性を損なう危険がある。ROPAは単なる書類作業ではなく、組織がデータの流れを把握するための基盤。これを免除することは、データ保護のガバナンス全体を弱体化させる」と警告した。
また、欧州議会の一部議員からは「750人という閾値は恣意的であり、データ処理のリスクは従業員数ではなくデータの量と性質で判断すべき」との指摘も出ている。
日本の個人情報保護法との規模感比較
日本の個人情報保護法(APPI: Act on the Protection of Personal Information)は、2022年4月に施行された改正法により、すべての事業者が対象となった。以前は「5,000人超の個人データを取り扱う事業者」に限定されていたが、この閾値が撤廃されたのだ。
GDPRとAPPIの比較
| 項目 | GDPR(現行) | GDPR(改革後) | 日本APPI |
|---|---|---|---|
| 対象 | EU域内+域外適用 | 同左 | 日本国内+域外適用 |
| ROPA相当の義務 | 250人以上必須 | 750人以上必須 | 個人データ取扱台帳(努力義務) |
| DPO相当の役職 | 条件付き必須 | 条件を厳格化 | 個人情報取扱管理者(ガイドライン推奨) |
| 制裁金上限 | 売上高4%または€2,000万 | 同左(変更なし) | 1億円(命令違反) |
| 域外適用 | 明示的に規定 | 同左 | 2022年改正で強化 |
| SME免除 | ROPA(250人未満) | ROPA(750人未満) | なし(全事業者対象) |
日本のAPPIにはGDPRのようなSME向けの明示的な免除規定がない点が特徴的だ。ただし、実質的には個人情報保護委員会のガイドラインが「事業の規模・性質に応じた対応」を認めているため、中小企業が大企業と全く同じレベルの対応を求められるわけではない。
日本企業への実務的影響
日本企業がGDPR改革の影響を受けるのは、以下のケースだ。
EU域内に拠点を持つ日本企業: 従業員250〜749人のEU拠点を持つ日本企業は、ROPA義務から免除される可能性がある。ただし、本社ベースのグローバルなデータ処理がEU市民のデータを含む場合、本社側でのROPA作成は引き続き推奨される。
EU市民にサービスを提供する日本企業: 域外適用の対象となる日本企業(ECサイト、SaaSプロバイダーなど)は、改革後もGDPRの基本的な義務を遵守する必要がある。ただし、EU域内に物理的な拠点がなく、代理人(Representative)を通じて対応している場合、ROPAの免除が適用されるかは今後のガイダンスで明確化される見込みだ。
2025年改正APPIとの二重対応: 日本では2025年に個人情報保護法の3年ごとの見直しが行われ、AI時代に対応した改正が予定されている。GDPRの改革とAPPIの改正が同時期に進行するため、グローバルに事業を展開する日本企業は両方の動向を注視する必要がある。
特に、GDPRのAI Act統合ガイダンスと日本のAI関連規制(AI事業者ガイドライン)の整合性は、日本のAI企業がEU市場でサービスを展開する上で重要なポイントとなる。
今後のスケジュールと見通し
改革案は以下のスケジュールで進行すると見込まれている。
- 2026年Q1: 欧州委員会がデジタルパッケージ提案を公式発表(完了)
- 2026年Q2〜Q3: 欧州議会と理事会での審議開始
- 2026年Q4〜2027年: 修正案の協議、トリアログ(三者間交渉)
- 2027年中: 最終合意の見込み
- 2027〜2028年: 移行期間を経て施行
ただし、EU立法プロセスの常として、欧州議会での修正が大幅に入る可能性は高い。特に「750人」という閾値については、プライバシー擁護派が引き下げを要求する一方、産業界がさらなる引き上げ(1,000人や1,500人)を求める展開が予想される。過去のGDPR採択プロセスでは、約4,000件の修正案が提出された経緯があり、今回も激しい議論が展開されるだろう。
まとめ——実務担当者が今取るべきアクション
GDPRの初の大幅改革は、EU域内の中堅企業にとって大きな朗報だが、施行までには1〜2年の時間がかかる。実務担当者は以下のステップで準備を進めるべきだ。
-
現行のコンプライアンス体制を棚卸しする: 自社のGDPRコンプライアンスコストの内訳を把握し、ROPA関連コスト、DPO関連コスト、越境対応コストを可視化する。改革が施行された場合の削減効果をシミュレーションし、経営層に報告できるようにしておく。
-
改革の進捗を定期的にモニタリングする: 欧州議会と理事会での審議状況、修正案の内容、EDPBのガイダンスを継続的にウォッチする。特に「750人」の閾値が変更される可能性があるため、自社が免除対象に含まれるかどうかの判断は最終合意まで保留にすべきだ。
-
日本のAPPI改正とのダブルトラックで対応する: グローバルに事業を展開する企業は、GDPRの改革とAPPIの改正を統合的に管理するプライバシーガバナンス体制を構築する。両規制の差分を明確にし、「より厳しい方に合わせる」のか「各法域ごとに最適化する」のかの方針を早期に決定することが重要だ。
GDPRの改革は、データ保護規制が「形式的なコンプライアンス」から「実効的なリスク管理」へと進化する転換点を意味する。この流れを正しく理解し、自社のプライバシー戦略に組み込むことが、規制対応コストを最小化しつつデータ活用の競争力を維持するための鍵となるだろう。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星