GDPR（一般データ保護規則）

GDPRとは、ひとことで言えば、EU域内の個人データ保護を定めた包括的な規制で、違反時の制裁金が世界売上の最大4%という極めて厳しい法律です。たとえば、EU市民の個人情報を扱う日本企業も域外適用の対象となり、データ主体の同意取得・忘れられる権利・データポータビリティなどへの対応が必要です。72時間以内の侵害通知義務もあり、世界中のプライバシー法制のモデルとなっています。日本の個人情報保護法やカリフォルニア州CCPAと比較されることが多く、国際展開する企業にとって最重要のコンプライアンス対象です。