2018年５月25日より、個人データ保護を目的としたEUの新たな法規制であるGDPRの適用が開始される。EUを含む欧州経済領域（EEA）域内の活動に関連して個人データを取り扱う場合やＥＵ在住の個人の個人データを取り扱う場合、EEA域内に子会社や支店等の拠点を有している企業はもとより、そのような拠点を有していない企業にも一定の場合、GDPRが適用される。
　また、EEA域内の個人データを日本へ移転する場合には、企業間の契約条項等で適切な保護措置を確保している、または本人が明示的に同意している等のGDPRが定める一定の例外事由を満たさなければならない。GDPRの重大な義務に違反した企業には、最大2000万ユーロまたは全世界年間売上の４％のいずれか高い方を上限とした金額が制裁金として課される可能性がある。