新しいデジタル規制 — GDPR・AI規制・データ国境を越える

導入

ヨーロッパでネットショッピングをするとき、「クッキーを許可しますか？」という確認画面が必ず表示されるのを見たことはないでしょうか。これはGDPRという厳格な個人情報保護法の影響です。デジタル規制は今や国境を越えてビジネスに影響を与えています。

くわしく知ろう

GDPR（General Data Protection Regulation：EU一般データ保護規則）は、EU域内の個人データを保護するための規制です。EU在住者のデータを扱う企業であれば、EU域外の企業にも適用されます。違反した場合は高額な制裁金が課される可能性があるため、日本企業もEUのユーザーを対象とするサービスを提供する際には対応が必要です。

次に注目されているのがEUのAI法（AI Act）で、AIシステムをリスクレベル（許容不可・高リスク・限定リスク・最小リスク）に分類し、高リスクなAIには厳しい審査や透明性の確保を義務づける枠組みになっています。顔認識や採用選考に使うAIなどが高リスクカテゴリに該当します。

データローカライゼーション（データ国内保存義務）とは、特定の国の個人データをその国のサーバーに保存することを義務づける規制です。ロシアや中国など一部の国で導入されており、グローバルなクラウドサービスの運用に影響を与えています。

日本国内では個人情報保護法の改正が繰り返され、GDPRの考え方を取り入れた形で個人データの越境移転規制も強化されています。

具体例

たとえばGDPRでは、ユーザーの同意なしにトラッキングCookieを設置することが禁止されています。そのためEU向けのウェブサイトでは、ページを開くとCookie同意ポップアップが表示されるのが一般的になっています。

まとめ・試験ポイント

• GDPR＝EUの個人データ保護規制、域外企業にも適用される
• EUのAI法＝AIをリスクレベルで分類し高リスクには審査義務
• データローカライゼーション＝個人データを自国内サーバーに保存する義務
• 違反時には制裁金など法的リスクが生じる
• 試験ではGDPRの適用範囲や越境データ移転に関する問題が出題される