EU の一般データ保護規則（GDPR）に関する記述として，適切なものだけを全て挙げたものはどれか。 a EU 域内に拠点がある事業者が，EU 域内に対してデータやサービスを提供している場合は，適用の対象となる。 b EU 域内に拠点がある事業者が，アジアや米国など EU 域外に対してデータやサービスを提供している場合は，適用の対象とならない。 c EU 域内に拠点がない事業者が，アジアや米国など EU 域外に対してだけデータやサービスを提供している場合は，適用の対象とならない。 d EU 域内に拠点がない事業者が，アジアや米国などから EU 域内に対してデータやサービスを提供している場合は，適用の対象とならない。

令和5年度 ITパスポート試験公開問題問18 解説 GDPRの適用範囲

GDPRが適用されるかどうかの判断基準は、企業の拠点の場所ではなく、誰のデータを扱っているか（EU域内の個人か）に注目することです。

具体的には、以下の2つのケースのどちらかに該当すれば、GDPRが適用されます。

このルールを前提に各選択肢を判定します。

aは正しい記述です。EU域内に拠点があり、EU域内へサービスを提供しているため、明らかに適用対象となります。

bは誤りです。「EU域内に拠点がある」時点で、その事業者が行うデータ処理の多くはGDPRの適用対象となります。提供先が域外だからといって一律に適用されないわけではありません。

cは正しい記述です。EU域内に拠点を持たず、かつEU域内の個人を対象としていない（提供先が域外のみ）場合は、GDPRのルールを気にする必要はありません。

dは誤りです。拠点がなくても「EU域内の個人に対して」サービスを提供しているため、GDPRの適用対象となります。したがって「適用対象とならない」という記述は誤りです。

GDPR（General Data Protection Regulation）は、個人データの保護を目的とした欧州連合の法律です。ITパスポートでは、単なる法律の定義だけでなく、今回のように「どの条件で適用されるのか」という適用範囲を問う問題がよく出題されます。

特に注意が必要なのは、日本企業であっても無関係ではないという点です。例えば、日本にあるネットショップがEU域内に住む顧客に向けて商品を販売したり、EU域内にいるユーザーからWebサイトを通じてデータを収集したりする場合、その日本企業もGDPRを遵守する必要があります。

この問題のように、拠点の場所と提供先の場所を組み合わせて適用範囲を問うパターンは、ビジネスの実態を想像すると理解しやすくなります。常に「EU域内の個人データに関わっているか？」という視点を持つようにしましょう。