GDPR（General Data Protection Regulation）は、EU一般データ保護規則の略称で、EU圏の個人データ保護に関する法規制です。越境ECでEU顧客の個人情報を取り扱う場合は、厳格なデータ保護措置が必要となります。

GDPRの適用範囲

GDPRは以下の場合に適用されます。

• EU域内に拠点を持つ企業
• EU域内の個人にサービスや商品を提供する企業
• EU域内の個人の行動を監視する企業

日本企業でも、EUの消費者に越境ECで販売する場合はGDPRの対象となります。

GDPRの主要な要件

• 同意の取得：データ収集前に明確な同意を得る
• データ主体の権利：アクセス権、削除権、ポータビリティ
• データ処理の記録：処理活動の文書化
• データ保護責任者（DPO）：一定規模以上で任命義務
• データ侵害通知：72時間以内の報告義務

違反時の制裁金

GDPR違反時の制裁金は非常に高額です。

• 軽微な違反：1,000万ユーロまたは全世界売上高の2%のいずれか高い方
• 重大な違反：2,000万ユーロまたは全世界売上高の4%のいずれか高い方

越境EC事業者の対応策

越境EC事業者がGDPRに対応するためには、以下の措置が必要です。

• プライバシーポリシーの更新
• Cookie同意バナーの設置
• データ処理契約（DPA）の締結
• 顧客データの適切な管理体制
• データ削除リクエストへの対応フロー