General Data Protection Regulation。EU(欧州連合)圏内の全ての個人のデータ保護を目的に18年5月に施行された新しい規則。 EU圏居住者の個人データを収集・処理する場合は、EU域外の企業・組織にも適用される。
自社ECサイト経由でEU居住者の個人データを取得した場合は原則、対象。情報漏えい発生時には、72時間以内に関係当局へ報告義務があり、違反すると制裁金は高額。データ管理者は、データ流通の可視化やアクセス権限などデータ保護の原則を満たす施策を実行する必要がある。多くの日本企業もデータ保護方針の策定、社内体制整備が迫られている。