GDPRとは

EU一般データ保護規則 - Wikipedia

"今回提案されたEUの新たなデータ保護制度はEUデータ保護法の対象範囲を、EU居住者のデータを処理する外国の全ての企業に拡大する。EU全域のデータ保護規制を一致させることで、欧州以外の企業が規則を遵守しやすいようにする。しかし、これを実現する代償として、データ保護を厳格に遵守させる制度、つまり全世界の売上高の4%を上限とする厳しい罰金を導入する。"欧州議会版では過料は5%に増額された。しかし欧州議会、欧州委員会、欧州閣僚理事会の三者の交渉の後、GDPRの文言、および、遵守しなかった場合の金銭的罰則についても全般的な合意がなされた

罰金

全世界の売上高の4%。例えば1兆円の売り上げがある企業であれば400億円ということ。

営業利益が全て吹っ飛ぶくらいのインパクトがあるので無視はできないですね。

AWS

AWSの責任範囲については問題なさそう。
aws.amazon.com

欧州含む全世界向けサービス提供者例(ZOZOSUIT)

日本から欧州含む全世界向けにサービスを提供しようとしているZOZOSUITもGDPRが課題になりそうな記事が出ていました。(ZOZOSUITのインフラがどこで動いてるかはわかりませんが)

ZOZOSUITに死角ありーー世界のデータサービス業界の景色を一変させる「GDPR」とは | AMP[アンプ] - ビジネスインスピレーションメディア

いくつか記事から引用。

日本で包括的に世界のユーザー情報を管理する、という設計自体成り立たない。

EU圏内の個人データの処理に関して言えば、子会社をEU圏内に設立するというのが一番現実的なオプションだと思います。

法的な対策をとれば一部のデータ移転の可能性もゼロではありません。しかし、消費者一人ひとりとそのような契約を結ぶのはコスト・時間を考慮すると現実的とは言えないでしょう。

EUのユーザーに関してはEU法人が個別に管理する。

企業は付け焼き刃の対策で既存のモデルをGDPRに対応させようとするのではなく、ユーザーとなる消費者の思いを含め、ビジネスの初期段階から個人データ保護についてしっかりと考えなければいけません。

個人的解釈

消費者一人ひとりと契約を結ぶことは現実的ではないということで、
日本からEU圏内にビジネスを展開する場合は、EU法人を作ってデータを独立させるしか解決策がなさそうに見える。

解釈があってるかどうかは自信なし。