GDPR（一般データ保護規則）

GDPR（General Data Protection Regulation）は、EUで制定されている個人データ保護法である。実際には、EUのみならず欧州経済領域（EEA）の一部の国にも適用される。2016年4月に制定され、2018年5月25日に施行された。EUを離脱したイギリスも、引き続きGDPR下の体制を維持しており、わが国との関係では大きな変更はない。
GDPRは、個人のプライバシー保護を主目的とし、デジタル時代におけるプライバシー保護の先駆け的存在として、各国のプライバシー保護法制に多大な影響を与えている。わが国には個人情報の保護に関する法律（個人情報保護法）があるが、もともとは個人データの利活用による産業の発展に主軸が置かれていた。しかし、現在は、EUと日本間における自由な個人データ流通の目的でGDPRに基づく十分性の認定（45条）を受けたこととの関係で、個人情報保護法もプライバシー保護強化に向けて大きく舵を切った。
GDPRには、域外適用の条項（3条２項）があり、EU域内に関連会社や支店といった拠点を持たないEU外の事業者にも適用可能性がある。データの漏えいや不正アクセスのようなデータ侵害に関しては、時間制限を伴う監督機関への報告義務も定められており（33条）、事業者の負担は大きい。また、GDPR違反には先例のない高額な制裁金が科されることでも注目を浴びている。実際、海外企業では、日本円にして数百億～１千億円近い規模の制裁金が科されたとの報道もある。
制裁金の算定においては、GDPRも不可能を強いるものではなく、事業者がどの程度保護措置を講じてきており、不祥事を防止する努力をしたかも考慮要素になっている。したがって、GDPR適用可能性のある事業者としては、普段から保護体制を整えておくことが重要である。