フランスRGPD（GDPR）企業コンプライアンスガイド

EU一般データ保護規則（GDPR）、フランスではRGPDと呼ばれるこの規則は2018年から施行されていますが、多くの企業が完全な準拠を達成できていません。罰金は最大**2,000万ユーロまたは全世界年間売上高の4%**に達し、フランスの監督機関CNILが取り締まりを強化している今、対応は待ったなしです。

本ガイドでは、2025年のAI透明性要件を含む最新の変更点と核心的な義務を解説します。

なぜ深刻に捉えるべきか

違反の種類	最大罰金
技術的違反	1,000万ユーロまたは売上の2%
権利侵害	2,000万ユーロまたは売上の4%

CNILはRGPD施行以来、4億ユーロ以上の罰金を科しています。中小企業も例外ではなく、5万〜50万ユーロ規模の制裁があらゆる規模の組織に適用されています。

7つの核心的義務

1. インフォームドコンセント

同意は以下を満たす必要があります：

• 自由に与えられた — チェック済みボックスの禁止
• 特定の — 目的ごとに個別の同意
• 情報を得た上での — データ利用の明確な説明
• 明確な — ユーザーの積極的な行動が必要

2. 処理活動記録（Registre des traitements）

従業員250人以上の組織に義務付けられていますが、すべての企業に推奨されます。処理目的、データカテゴリ、受信者、保存期間、セキュリティ対策を含める必要があります。

3. データ保護責任者（DPO）

公的機関、大規模データ処理を行う組織、機微データを取り扱う組織に必須です。義務がなくてもDPOの任命はベストプラクティスです。

4. データ保護影響評価（DPIA）

処理が個人の権利に高いリスクをもたらす可能性がある場合に必要です。例：ビデオ監視、プロファイリング、健康データの処理。

5. 侵害通知

データ侵害が発生した場合：

• CNILに72時間以内に通知
• 高リスクの場合は関係者に通知
• 軽微な侵害も含めすべてを文書化

6. 情報提供権

すべての個人は、どのデータが収集されるか、その理由、保存期間、アクセスできる人、権利の行使方法（アクセス、訂正、削除、ポータビリティ）を知る権利があります。

7. AI透明性（2025年新規）

2025年より、AIを用いた自動意思決定を行う組織は、関係者に通知し、使用されたロジックを説明し、決定に異議を唱えることを可能にする義務があります。

コンプライアンス文書を安全に共有する方法

RGPD準拠文書には、処理記録、影響評価、監査報告書、規制当局との通信など機密情報が含まれます。

通常のメールで送信すると追加のリスクが生じます。**LOCK.PUB**を使えば、パスワード保護と自動有効期限付きのリンクを作成し、DPO、弁護士、CNILに文書を安全に共有できます。LINEでリンクを送るだけで、手軽かつ安全です。

CNILの無料ツール

CNILはコンプライアンスを支援する無料ツールを提供しています：

• PIA：オープンソースの影響評価ソフトウェア
• 処理活動記録テンプレート（cnil.frからダウンロード可能）
• 下請業者ガイド（処理者の義務）
• 分野別フレームワーク（医療、人事、顧客）

RGPDコンプライアンスチェックリスト

• 最新の処理活動記録
• プライバシーポリシーの公開
• 規制準拠のCookieバナー
• 同意プロセスの文書化
• DPO任命（義務の場合）
• 侵害通知手順
• RGPD条項付きの下請業者契約
• スタッフ研修
• 高リスク処理のDPIA
• データ主体からの要求への対応プロセス

よくあるミス

1. 同意と正当な利益の混同 — これらは別個の法的根拠
2. データの過剰保持 — 「念のため」のデータ保管は違法
3. 下請業者の見落とし — 処理者に対する責任は依頼主にある
4. セキュリティの軽視 — RGPDは適切な技術的措置を要求
5. データ主体の権利無視 — 回答期限は1ヶ月

まとめ

RGPD準拠は一度限りのプロジェクトではなく、継続的なプロセスです。ルールは変化し、CNILは取り締まりを強化し、市民のプライバシーへの期待は高まり続けています。

基本から始めましょう — 記録、透明性、セキュリティ — そして段階的に改善していきましょう。機密のコンプライアンス文書を共有する必要があるときは、LOCK.PUBを活用してください。

---

データ保護は単なる法的義務ではありません。顧客と従業員への約束です。