NAKIVO > Blog > Multiplatform

一般データ保護規則(GDPR)ガイド

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

技術環境がますます複雑化する中、この1年でプライバシーとデータ保護が再び注目を集めています。クラウドやAIの普及に伴い、責任分担モデルから生体データの処理、顔認識技術の利用に至るまで、独自のプライバシー上の課題が生じていることから、EUでは"GDPR 2.0"の必要性が議論されています。

では、GDPR(一般データ保護規則)とは一体何なのか、その適用範囲はどの程度なのか、そして草案が作成されてから12年が経過した今、今日の課題に対する答えを提供できるのだろうか。本稿では、この法律の目的と要件、そしてデータ保護戦略を通じてコンプライアンスを確保する方法について考察する。

クラウドに直接バックアップ

クラウドに直接バックアップ

NAKIVO を使用すれば、仮想環境、クラウド、および物理環境のワークロードを、主要なクラウドサービスやその他の S3 互換プラットフォームに直接バックアップすることで、単一障害点を回避できます。

ソリューションを見る

GDPRとは何ですか?

その 一般データ保護規則(GDPR) は、組織がEU市民の個人データを収集、保存、処理、および共有する方法を規定するデータ保護法です。 GDPRは2018年5月25日に施行されました。これは、個人データの保護に関するEU基本権憲章第8条に基づき、個人データの取り扱いにおける法的根拠として"自発的に与えられた同意"を重視しています。

この規則は、欧州連合全域におけるデータプライバシー規制の統一を図り、個人データを扱う組織の地理的な所在地にかかわらず、EU市民のプライバシー権を保護することを目的としています。

GDPRの主な原則

一般データ保護規則(GDPR)は、個人データの適法な取り扱いを規定する7つの基本原則に基づいて構築されています。これらの原則は単なる指針ではなく、法的拘束力を持ち、GDPRへの準拠において極めて重要な位置を占めています。これらは、組織に対し、データの初期収集から最終的な削除または破棄に至るまで、データ処理のあらゆる段階においてプライバシーへの配慮を求めるものです。

  1. 適法性、公平性、そして透明性。 個人データの処理には法的根拠が必要であり、当該個人を誤解させたり不利益を与えたりしてはならず、また、データの利用および処理方法について、当該個人に対して明確かつ透明性を持って説明しなければならない。
  2. 利用目的の限定データは、具体的かつ明確で、明示的かつ適法な理由に基づいて収集されなければならず、その利用は当初の目的と矛盾するものであってはならない。
  3. データの最小化収集および処理されるデータは、その目的達成に不可欠な範囲に限定されなければならない。
  4. 正確性. 個人データは正確でなければならず、必要に応じて常に最新の状態に保たれる必要があります。不正確なデータは、遅滞なく訂正または削除されなければなりません。
  5. ストレージの制限. 個人データは、その利用目的を達成するために必要な期間に限り、データ主体を特定できる形式で保持されなければならない。
  6. 誠実性と守秘義務(セキュリティ). 個人データの処理にあたっては、不正または違法な処理や損害から保護するための適切なセキュリティ対策を講じるべきである。
  7. 説明責任組織は、GDPRに準拠するために必要な方針や手順を適用できなければならず、求められた際には、それらを効果的に実施したことを証明できなければならない。

GDPRの定義と用語

以下は、主要な用語とGDPRの定義をまとめた簡単な用語集です:

個人データ 個人に関するあらゆる情報を指し、すなわち、 データ主体、例えば、氏名、識別番号、所在地、または身体的、生理的、遺伝的、精神的、経済的、文化的、もしくは社会的なアイデンティティに関連するその他の識別子によって、直接的または間接的に特定可能な者。

同意 とは、当該者による"自発的かつ具体的、十分な情報に基づいた、かつ明確な"意思表示であり、 データ主体 明示された目的のために自身の個人データが処理されることに同意する。

データ管理者 GDPRの原則の遵守に責任を負い、個人データの処理の目的および手段を決定する個人または組織です。これは、連絡先となる当事者です。 データ主体 権利を行使したいと考えている。ただし、実際のデータ処理は、別の個人または組織に委託することができ、つまり、 データ処理装置.

データ処理装置 とは、に代わって個人データを処理する個人または組織のことです。 データ管理者。本パーティーは、以下の指示に従うものとします。 データ管理者.

データ主体 とは、自身の個人データが データ管理者 または データ処理装置.

処理 個人データに対して行われるあらゆる処理を指し、これには収集、記録、体系化、保存、変更、開示、提供、消去、破棄などが含まれ、これら以外にもGDPRで規定されているその他の処理が含まれます。

閲覧権 は、~の権利である データ主体 から情報を取得するために データ管理者 自身の個人データ、その処理方法、処理の目的などについて、当該請求を受領してから1か月以内に、無料で提供します。

GDPRの遵守要件と課題

GDPRは、強固なデータ保護基準の基盤を築きました。しかし、技術の急速な進化は事態を複雑化させ、EUのプライバシー規制の根底にある基本原則への試練をますます強めています。

誰がGDPRを遵守しなければならないのか?

EU域内。 EU域内の個人の個人データを処理する組織はすべて、GDPRの適用対象となります。これには、公的機関や民間企業、政府機関、慈善団体、その他の非営利団体が含まれます。

EU域外。 GDPRの適用範囲はEU域内にとどまらず、EU市民に商品やサービスを提供する組織、あるいはEU域内におけるEU市民の行動を監視する組織にまで及びます。つまり、EU居住者のデータを処理する企業であれば、その拠点が世界のどこにあろうと、GDPRを遵守しなければなりません。

世界のインターネット・テクノロジー企業EU域内にユーザーを抱えるソーシャルメディアプラットフォームを含む各サービスは、GDPRを遵守する必要があります。

テクノロジーベンダーと共同責任

SaaS、IaaS、PaaSなど、インターネットを介してITリソースやサービスを提供するプラットフォームが普及するにつれ、個人データを扱うテクノロジーベンダーや下請け業者の役割が、GDPRの遵守において重要になってきています。組織が個人データの処理や保存にサードパーティのサービスやプラットフォームを利用する場合、それらのベンダーもGDPRを遵守する必要があります。

なお、こうしたサービスの多くは"責任分担モデル"に基づいており、その内容は以下の通りです:

  • 組織はデータの所有者としてそのデータに対する責任を負い、サービスの種類によっては、アプリケーションやオペレーティングシステムについても責任を負う場合があります。
  • ベンダーは、サーバー、ストレージ、ネットワーク、物理的な設置場所などを担当します。

GDPRの下では、組織は同意を取得し、データが本来の目的のために使用されることを確保する責任を負います。また、個人データの取り扱いを委託するベンダーが、同規則に準拠して業務を行っていることを確認する必要があります。

クラウドコンピューティングが個人データにもたらす課題には、以下のようなものがあります:

  • 機密情報の漏洩の恐れ
  • 管轄区域間のデータフローの管理
  • 第三者ベンダーが、データ主体に対して行ったのと同様のプライバシーに関する取り組みを確実に実施するよう確保する
  • 保持ポリシーを効果的に実施する
  • 個人情報の漏洩への対応
  • リスク管理全般

GDPRとAI

その EUの人工知能法世界初のAI規制法である同法は、EU市民のプライバシー権に関する新たな課題に対処するため、2025年に施行される予定である。しかし、AIを活用して個人データを処理する組織が直面する課題のいくつかを、今から理解しておくことが重要である:

  • データの最小化および利用目的の限定。 AIは、データ管理者がデータ収集を厳密に必要な範囲に限定し、特定の目的のためにのみ行うという要件を満たす上で、課題をもたらしている。
  • 国境を越えたデータ転送。 AIやデータ駆動型技術は、国境を越えて運用されることが少なくありません。そのため、GDPRへの準拠を確保するには、より厳格な管理体制の構築が必要となる場合があります。
  • 自動化された意思決定とプロファイリング。 AIには、プロファイリングを含む個人データの処理に基づき、人間の関与なしに意思決定が行われるリスクが伴います。GDPRの下では、このような個人データの利用は厳しく制限されています。

GDPR準拠の主な要件

GDPRへの準拠が必要な組織向けに、考慮すべき一般的な要件は以下の通りです:

  • データ保護対策組織は、データの暗号化、安全なデータ保管、定期的なセキュリティ監査など、堅牢なデータ保護ソリューションと対策を講じる必要があります。これには、AI、クラウドコンピューティング、ビッグデータ分析といった新技術を導入する際に、GDPRが及ぼす影響を考慮することも含まれます。
  • 同意管理組織は、個人データを処理する前に、明確かつ十分な情報に基づいた、自発的な同意を得るための明確な方針を策定しなければならない。これには、個人データのライフサイクル管理のための明確な仕組みを整備することも含まれる。
  • データ処理記録データ処理活動に関する詳細な記録を保持することは義務付けられており、どのようなデータが、どのような目的で収集され、どのように処理・保護されているかを明らかにする必要があります。
  • データ保護責任者. 組織によっては、特に機密性の高いデータを大規模に処理している場合、GDPRの遵守状況を監督するためにデータ保護責任者を任命する必要がある場合があります。

GDPRの要件を満たす方法

GDPRの要件を満たすことは、一度きりの取り組みではなく、評価と監視を継続的に行うプロセスです。組織は、個人データの取り扱い、データの保護と復旧、およびセキュリティを網羅した包括的な対策を講じる必要があります:

  • データを理解し、マッピングする. どのような個人データが収集されているか、その収集目的、処理方法、保存場所、および共有方法を把握するため、徹底的な監査を実施してください。組織内における個人データの移動経路を追跡するためのデータフロー図を作成します。これにより、リスクのある領域を特定しやすくなります。
  • 処理の法的根拠を確保する. 個人データの処理の法的根拠(同意、契約、法的義務、生命・身体の保護、公的任務、または正当な利益など)を特定する。同意に基づく場合は、それが"自発的、具体的、十分な情報に基づく、かつ明確な"ものであることを確保する。同意の仕組みは理解しやすく、同意を容易に撤回できる選択肢を含めるべきである。
  • データ保護ポリシーを実施する. GDPRへの準拠を確保するため、社内のデータ保護に関する方針および手順を策定または更新する。個人データを取り扱うすべての業務プロセス、システム、およびサービスにおいて、デフォルトおよび設計段階からのデータ保護を組み込む。
  • データ処理を最小限に抑える。 各特定の目的に必要なデータのみが処理されるようにし、個人データへのアクセスは、それを必要とする者に限定する。
  • データの保存期間。 GDPRでは、組織に対し、個人データの保存期間を厳格に評価・管理し、必要以上にデータを保持しないよう求めています。そのためには、明確な方針の策定、定期的な見直し、およびデータの削除や匿名化のための効果的なプロセスを備えた、積極的なデータ管理アプローチが不可欠であり、同時にGDPRへの準拠とその他の法的保存要件とのバランスを図る必要があります。
  • データ主体の権利の行使を支援する. データ主体によるデータへのアクセス、訂正、消去、データポータビリティ、および処理への異議申立てなどの権利に対応するための手続きを確立する。
  • データ漏洩への対応策および報告措置を策定する. データ漏洩対応計画を含む、堅牢なインシデント対応計画を作成し、実施する。データ漏洩を認識してから72時間以内に、関連する監督当局へ通知する準備を整え、場合によっては影響を受けた個人へも通知する。
  • ベンダー管理およびデータ処理業者のコンプライアンスを確認する. 貴組織の個人データを扱うサードパーティのベンダーやデータ処理業者が、GDPRに準拠していることを確認してください。
  • 継続的な評価を行う. データ処理に関する業務を定期的に監査し、ポリシーを見直すことで、GDPRへの継続的な準拠を確保する。
  • 海外送金には注意してください. EEA域外へデータを移転する場合は、標準契約条項(SCC)の適用や、欧州委員会による十分性認定の遵守など、適切な保護措置が講じられていることを確認してください。
  • 記録や書類を保管しておく. データ処理の目的、データの種類、データの受領者など、データ処理活動に関する包括的な記録を維持する。

GDPRとデータ保護

データのバックアップおよび災害復旧に関しては、組織は個人データを保護し、確実性を確保するために、安全なバックアッププロセスを導入しなければなりません。 GDPRへの準拠これには、以下の展開が含まれます データ保護 および、以下の機能を備えた災害復旧ソリューション:

  • バックアップデータの暗号化 ストレージリポジトリ内(保存時)および転送中(転送時)において。強力な暗号化基準を実装できるソリューションを選択し、万が一の事態が発生した場合でも、権限のない第三者がバックアップデータを読み取れないようにしてください。 セキュリティ侵害.
  • アクセス制御と認証. アクセスを許可する前に、個人データへのアクセスを制限するためのロールベースのアクセス制御(RBAC)を設定し、セキュリティを強化するための多要素認証(MFA)を導入してください。
  • データの最小化および保存期間の制限. 一般データ保護規則(GDPR)の中核となる原則の一つに"保存期間の制限"があり、これはバックアップの保存期間ポリシーに直接影響を及ぼします。バックアップソリューションが、データの階層ごとに異なるスケジュールや保存期間ポリシーを設定できる十分な柔軟性を備えていることを確認してください。
  • クラウドストレージ内のバックアップデータの保存場所。 バックアップデータの保存場所を把握し、処理する個人データの種類に応じてリージョンを選択してください。
  • 定期的なバックアップデータの整合性チェック. 個人データの完全性を確保するため、定期的なバックアップを実施し、復旧テストを行うための措置を講じる。
  • ベンダーおよびサードパーティの管理・コンプライアンス. バックアップソリューションと連携するサードパーティ製のストレージやその他のプラットフォームが、データの保存方法や保存場所を適切に管理できるよう、必要な機能を備えていることを確認してください。

NAKIVOによるデータ保護

NAKIVO Backup & Replication これは、個人データを扱う組織が導入できる、バックアップ、災害復旧、セキュリティ機能を適切に組み合わせたデータ保護ソリューションです。保存時および転送中のデータ暗号化、バックアップのスケジュール設定と自動化、柔軟な保存期間設定、バックアップ検証などの機能を活用することで、仮想環境、物理環境、クラウド環境、SaaS環境におけるアプリケーションやシステムを保護し、GDPRの要件への準拠を維持することができます。

1年間の無料データ保護: NAKIVO Backup & Replication

1年間の無料データ保護: NAKIVO Backup & Replication

2分で導入でき、仮想環境、クラウド、物理環境、SaaSのデータを保護します。バックアップ、レプリケーション、即時復旧のオプションをご用意しています。

無料版を入手する

People also read

Picture
NAKIVO、ポズナンで開催された「TECH Meets」でVMデータ保護について講演
Picture
PowerShell を使用した Windows アップデートの自動化方法:概要
Picture
クラウドバックアップとは何か、その仕組みは?