スペインのRGPD・LOPDGDD企業ガイド:データ保護義務の全体像
スペインで事業を行う企業向けのGDPR・LOPDGDD準拠ガイド。AEPD執行動向、同意管理、DPO義務、違反通知、制裁金を解説。
スペインのRGPD・LOPDGDD企業ガイド:データ保護義務の全体像
スペインで事業を展開する企業にとって、RGPD(EU GDPRのスペイン名称)とLOPDGDD(個人データ保護及びデジタル権利保障に関する組織法)への準拠は必須です。LOPDGDDは2018年12月に施行され、EU GDPRをスペインの国内法として具体化しています。
2025年現在、スペインのデータ保護当局であるAEPD(Agencia Española de Protección de Datos)は、AI活用やクッキー追跡に対する取り締まりを強化しています。
RGPDとLOPDGDDの関係
| 区分 | RGPD(EU GDPR) | LOPDGDD(スペイン法) |
|---|---|---|
| 適用範囲 | EU全体 | スペイン国内 |
| 法的性格 | EU規則(直接適用) | 国内法(補充) |
| 最大制裁金 | 2,000万EUR or 売上高の4% | GDPR基準と同一 |
| 監督機関 | 各国DPA | AEPD |
企業の6つの中核義務
1. 同意管理(Consentimiento)
個人データ収集時には、明示的かつ自由な同意が必要です。事前チェック済みのチェックボックスは有効な同意として認められません。
2. データ保護責任者(DPO)の任命
LOPDGDDに基づき、公的機関、医療・教育・金融機関、大規模データ処理企業、保険・通信会社はDPO任命が義務付けられています。
3. 処理活動の記録
従業員50人未満の企業でも、機微情報の処理や定期的な個人データ処理を行う場合は記録が必要です。
4. 違反通知(72時間以内)
個人データの漏洩が発生した場合、72時間以内にAEPDへ通知する義務があります。
5. データ保護影響評価(EIPD)
プロファイリング、大規模監視、機微情報処理などの高リスク処理を開始する前に影響評価を実施する必要があります。
6. デジタル権利
LOPDGDDはGDPRにはない独自のデジタル権利を規定しています。従業員のデジタル切断権、職場での映像監視規制、未成年者のデータ保護強化などです。
AEPDの2025年執行動向
- AI・自動処理:自動意思決定の透明性を要求
- クッキー準拠:同意バナーの実効性を検査
- 国際データ移転:EU域外移転の保護措置を確認
中小企業向けFacilita RGPDツール
AEPDは低リスクのデータ処理を行う中小企業向けに、無料オンラインツールFacilita RGPDを提供しています。簡単な質問に答えるだけで基本的なコンプライアンス文書を自動生成できます。
コンプライアンス文書の安全な共有
影響評価書、処理活動記録、違反対応計画書など、GDPR準拠過程で共有が必要な内部文書は、それ自体が機密情報を含むことがあります。これらをLINEやメールで無防備に送ることは新たなリスクを生みます。
LOCK.PUBを使えば、パスワード保護付きメモリンクでコンプライアンス文書を安全に共有でき、有効期限を設定してデータの不必要な保持を防げます。
制裁金の枠組み
| 違反レベル | 最大制裁金 |
|---|---|
| 軽微な違反 | 40,000 EUR |
| 重大な違反 | 300,000 EUR |
| 非常に重大な違反 | 2,000万EUR or 全世界売上高の4% |
スペインでのデータ保護コンプライアンスは義務です。チェックリストで現状を確認し、LOCK.PUBなどの安全なツールでコンプライアンス文書を管理しましょう。