トピックス

2017.09.13
NEWS

EU一般データ保護規則(GDPR)(第3回):域外適用(EUに拠点がない日本企業に適用される場合)

【執筆者:渡邉雅之
今回は、2018年5月に施行されるEU一般データ保護規則(General Data Protection Regulations)の用語について解説いたします。
なお、ご相談については下記にご連絡ください。
弁護士法人三宅法律事務所 パートナー
弁護士 渡邉 雅之
TEL: 03-5288-1021(代表)
Email: m-watanabe@miyake.gr.jp

【関連リンク】
〇EU一般データ保護規則
EU一般データ保護規則(GDPR)(第2回):用語について
〇個人情報保護法・マイナンバー法など
個人情報保護法・マイナンバー法対応規程集
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
匿名加工情報への対応(第2回):匿名加工情報について
匿名加工情報への対応(第3回):匿名加工情報取扱規程・匿名加工情報取扱方針(規程付)
医療ビックデータ法の概要
【解説】預貯金口座へのマイナンバーの付番(2018年1月から開始)

Business Lawyers掲載Q&A

今回は、日本企業にも関連のある域外適用(EUに拠点がない日本企業に適用される場合)について解説いたします。

1 域外適用(第3条第2項)
関連するEU一般データ保護規則(GDPR)の条項は第3条(特に第3条第2項)です。
Article 3 Territorial scope
第3条 地理的適用範囲
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not. 
この規則は、EU 域内の管理者または処理者の事業所の活動に関連してなされる個人データの処理について適用される。この場合、その処理が EU 域内または域外でなされるか否かについては問わ ない。
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
この規則は、以下の(a)または(b)に関連して、EU 域内に拠点のない管理者または処理者によるEU 在住のデータ主体の個人データの処理に適用される。
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or 
(a)EU 在住のデータ主体に対する商品・サービスの提供に関する処理。
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union. 
(b) EU 域内で行われるデータ主体の行動の監視に関する処理。
3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law. 
この規則は、EU 域内に拠点を持たない管理者による個人データの取扱いにも適用されるが、国際公法により加盟国の国内法が適用される場所にある管理者による取扱いの場合に限られる。

上記第3条第2項のとおり、GDPRは、以下の(a)または(b)に関連して、EU 域内に拠点のない管理者または処理者によるEU 在住のデータ主体の個人データの処理に適用されるます。
(a)EU 在住のデータ主体に対する商品・サービスの提供に関する処理。
これには、ウェブサイトにおいて、1つのEU加盟国で用いられる言語または通貨を利用して、商品・サービスの提供を行っている場合が該当します。例えば、フランス語で表記し、かつユーロ建で表示している場合です。単に管理者や処理者のウェブサイト、電子メールでアクセスできるだけでは該当しません。
例えば、日本国内の旅館が、EU域内所在者向けにインターネット上で、EU言語(英語・フランス語など)で宿泊サービスというサービスを提供している場合で、インターネット経由で個人データ(住所・氏名・クレジットカード番号など)を登録してもらう場合には、GDPR上の管理者としての義務を負うことになります。
(b) EU 域内で行われるデータ主体の行動の監視に関する処理。
これには、個人の嗜好、行動、態度を分析・予測してその人物に関する決定を下すために、個人がインターネット上で監視されている場合が該当します。自然人のプロファイリングを構成する個人データ処理技術を利用する可能性も含まれます。

2 代理人の設置義務(第27条)
Article 27 Representatives of controllers or processors not established in the Union
EU域内に設立されていない管理者または処理者の代理人
1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.
第3条第2項が適用される場合、理者または代理人はEU域内に代理人を書面で指名しなければならない。
2. The obligation laid down in paragraph 1 of this Article shall not apply to:
前項に規定する義務は、以下のいずれかの場合には適用されない
(a) processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or
(a)特別の種類の個人データ(人種、民族、政治的思想、信条、労働組合加盟、遺伝データ、生体データ、健康データ、性生活・性志向のデータ)または有罪判決や犯罪に関する個人データを大規模に含まず、取扱の性質、文脈、範囲、目的を考慮して個人の管理・自由に対するリスクが生じない、散発的になされる処理
(b) a public authority or body.  
(b)公的機関または団体
3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are.
3.代理人は、データ主体が居住し、当該データ主体への商品やサービスの提供に関連して当該データ主体の個人データが処理されるか、又は当該データ主体の行動が監視される加盟国の一つに拠点を持たなければならない
4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.
4.代理人は、この規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者もしくは処理者とともに、または代わりに、特に、監督機関及びデータ主体と対話をするため、管理者または処理者によって委任されなければならない。(同条4項)
5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves. 
5.管理者または処理者による代理人の指名は、管理者または処理者自身に対して行われる法的行為を何ら妨げることはない。 

上記1により、EU域外の管理者または処理者に、GDPRが適用される場合(規則3条2項)、管理者または代理人はEU域内に代理人を書面で指名しなければならりません。(規則27条1項)

ただし、次の場合は代理人の設置義務がありません(同条2項)。
(a)特別の種類の個人データ(人種、民族、政治的思想、信条、労働組合加盟、遺伝データ、生体データ、健康データ、性生活・性志向のデータ)または有罪判決や犯罪に関する個人データを大規模に含まず、取扱の性質、文脈、範囲、目的を考慮して個人の管理・自由に対するリスクが生じない、散発的になされる処理
(b)公的機関または団体
上記(a)は特別の種類の個人データや犯罪情報(いわゆるセンシティブ情報)を大規模に含まないで、継続的ではなく散発的になされる場合には域外適用がされないとするものです。

代理人は、データ主体が居住し、当該データ主体への商品やサービスの提供に関連して当該データ主体の個人データが処理されるか、又は当該データ主体の行動が監視される加盟国の一つに拠点を持たなければなりません(同条3項)。

代理人は、本規則遵守を確実にする目的のため、取扱いに関連するすべての問題について、管理者若しくは処理者とともにまたは代わりに、特に、監督機関及びデータ主体と対話をするため、管理者又は処理者によって委任されなければなりません(同条4項)。

管理者または処理者による代理人の指名は、管理者または処理者自身への裁判所の命令などの法的行為を何ら妨げるものではありません(同条5項)。

3 中小・零細企業への適用
EU一般データ保護規則は中小・零細企業、公的機関、地方自治体、非営利団体にも適用されます。
したがって、日本の中小企業や零細企業も、ウェブサイトを通じて、EU域内の言語・通貨で、EU域内の個人を対象とした商品・サービスを提供している場合は、管理者としての義務を負うことになります。
なお、個人データの処理行為の記録保持義務について250 名未満を雇用している「企業」や組織については当該義務が免除されます(規則30 条5項)。ここにいう「企業」が単独の法人かグループ会社全体かについては、今後公表される予定のガイドラインの解釈に委ねられます。

4 十分性の認定とは無関係であることに留意が必要
上記1で説明した域外適用と上記2で説明した代理人の指名は、いわゆる「十分性の決定」とは無関係であることに留意が必要です。
「十分性の決定」は、EU域内から域外への個人データの移転に関する場合について、欧州委員会が認めた国・地域への移転を認めるものですが、ウェブサイトを通じて、EU域内の市民に対して商品・サービスを提供している場合には、日本が「十分性の決定」を欧州委員会から得ても、代理人の指名義務はあります。

5 個人情報保護法上の域外適用
2017年5月30日施行の個人情報保護法の改正により、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した事業者が、外国において当該個人情報または当該個人情報を用いて作成した匿名個人情報を取り扱う場合にも適用されることになりました(法78条)。
✓利用目的の特定(15条)
✓利用目的による制限(16条)
✓取得に際しての利用目的の通知・公表(18条1項)
✓データ内容の正確性の確保等(19条)
✓安全管理措置(20条)
✓従業者の監督(21条)
✓委託先の監督(22条)
✓第三者提供(23条)
✓外国にある第三者への提供の制限(24条)
✓第三者提供に係る記録の作成等(25条)
✓保有個人データに関する事項の公表等(27条)
✓保有個人データの開示(28条)
✓保有個人データの訂正等(29条)
✓保有個人データの利用停止等(30条)
✓利用の停止等(31条)
✓開示等の請求等に応じる手続(32条)
✓手数料(33条)
✓事前の請求(34条)
✓個人情報取扱事業者による苦情の処理(35条)
✓匿名加工情報の作成等(36条)
✓指導および助言(41条)
✓勧告および命令(42条1項)
✓個人情報保護委員会の権限の行使の制限(43条)
✓適用除外(76条)
本条は、外国に拠点があることを明文の要件としていませんが、「外国において日本にある者から取得した個人情報やその個人情報から作成した匿名加工情報を取り扱う」場合に適用されるので、基本的には「外国に活動拠点がある事業者」に適用されます。
法75条は、外国の事業者が日本国内の個人から直接個人情報を取得する場合を想定しており、外国の事業者が日本国内の事業者から個人データを取得する場合は対象としていないことに留意する必要があります(これは法25条の外国にある第三者への提供制限の問題となります。)。
なお、海外から日本国内に駐在している者が、インターネットを通じて海外のサイトで商品・サービスの提供を受ける場合にも本条の適用があるのかについては疑問が残ります。ウェブサイトが外国語で記載されており、日本人の顧客を想定していないような場合についてまで本条の適用はないのではないかと考えられます。