行政書士の過去問 平成30年度 一般知識等 問55

正解は４
GDPRは、個人情報（データ）の保護という基本的人権の確保を目的としており、EUを含む欧州経済領域（EEA）域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止しています。

ア×　GDPR3条3項は、「EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される」としているため、誤りです。

イ〇　GDPR3条は、「EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される」としているため、正しい記載です。

ウ×　GDPR3条1項は、「その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される」としており、保有者が政府であるかを問わないため、誤りです。

エ〇　GDPR3条1項は、「その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される」としているため、正しい記載です。

オ×　制裁もある(GDPR8章)ため、誤りです。

ア：誤り
欧州データ保護規則はEU域内データ管理者を置く場合に適用されますが、EU域内居住者の個人データを収集・処理する場合は、EU域外に拠点をおく組織にも適用されされます。

イ：正しい
正しい記述です。

ウ：誤り
GDPRの保護対象となる個人データとは、欧州経済領域内に所在する個人のデータです。国籍については制限がありません。

エ：正しい
正しい記述です。

オ：誤り
GDPRでは、規制に違反して域外にデータを移転した場合の制裁を規定しています。
すなわち、最大で2,000万ユーロ又は前年度の全世界年間売上の4％を上限とする制裁金が課せられることがあります。（欧州データ保護規則83条）。

したがって、④が正解です。

ア.妥当でない
EU区域内の居住者の個人データを収集・処理する場合は、EU域外に拠点をおく組織にも適用されます。

イ.妥当である
欧州経済領域内で業務を展開する企業に限り規制対象となります。

ウ.妥当でない
保護の対象は、欧州経済領域内に在住する個人のデータであり、国籍等は関係ありません。

エ.妥当である

オ.妥当でない
違反者に対しては制裁金が課せられます。