昨年5月、GDPRの施行が開始された(EUデータ保護指令は置き換えられた)。それ以来、GDPRはEUのみならず、日本を含む各国において個人データ保護のための重要な判断基準と考えられている。EU内に所在する企業等の組織は、GDPRに日々精通してきているものの、EU域外の企業等組織では依然遵守状況についてはばらつきが見られる。GDPR施行から1年が経過した今、規制[1][2]の解釈を明確にしていきたい。
本稿では、GDPRにより保護される個人データとはどのようなものかということを踏まえて、GDPRがEU域外の組織にどの程度適用されるか概説する。第3項では、EU域内からEU域外への個人データの移管、特に日本への移管について、より詳しく見ていきたい。
GDPRは、個人データ(personal data)について、「識別され又は識別可能な自然人に関するあらゆる情報」と広く定義している。識別可能な自然人とは、データから直接的に、又は識別子(氏名、位置データ、オンライン識別子等)を参照することによって間接的に識別され得る自然人のことをいう。自然人がデータから識別できるかどうかを決定するためには、すべての合理的な手段(all reasonable means)を考慮しなければならない。特定の個人へ紐付けされ得ないデータは個人データではないため、GDPRの適用を受けない。[3]
個人データの例には以下のものがある。
GDPRは個人データの処理に適用される。処理の定義は非常に幅広く、個人データの収集、記録、編集、構造化、保存、修正、変更、検索、相談、使用、開示、配布、結合、制限、消去及び破棄が含まれる。[4]
処理の例としては、以下が挙げられる。
GDPRの目的は、個人データの処理がEUとの繋がりを有する場合に、高いレベルの保護を確保することである。したがって、GDPRは、当該個人データの処理がEU域内に拠点を持たない組織による場合であっても、下記のいずれかの要件が満たされる場合には適用される。
(a)EU域内に所在する拠点の活動として行われること。
(b)EU域内に所在する個人に対する商品及びサービスの提供、又はEU域内に所在する個人の行動のモニタリングに関連して行われること。
EU域外に拠点を置く組織は、EU域内における現状の配置・展開等が拠点とみなされるかどうか、もしみなされないとしても、個人データが拠点の活動に関連して処理されているかどうかを第一に検討すべきである。例えば、EU域内に販売代理店がいるというだけでは「EU域内に所在する拠点の活動」には該当しないが、以下で述べる要素を有する場合には(a)の要件を満たし、GDPRが適用されうる。
仮に(a)の要件に該当しない場合であっても、組織がEU域内に所在する個人を対象としている場合、(b)の要件に該当するとしてGDPRが適用されうる。
GDPRは、EU域内に所在する拠点の活動に関連する個人データの処理に適用される。当該処理がEU域内では行われない場合であっても、GDPRの適用対象となる。
拠点とは、法律上の形式を問わず、安定的な仕組み(stable arrangements)を通じて、実効的かつ現実的な活動を行うものを意味する。したがって、EU非加盟国の組織がEU加盟国のいずれにも支店や子会社を有しないからといって、当該組織がEU域内拠点を有しないとはいえない。従業員が一人、あるいは代理人が一人いる場合には、個々の人員が一定の永続性をもって行動する限り、安定的な仕組みをもっていると認められる場合がある。
なお、EU域内からホームページを閲覧できるという事実だけでは、EU域外の組織がEU域内に拠点を有すると判断される可能性は低いだろう。
GDPRは、域内拠点自体がデータ処理を行うことを要請していない。しかしながら、GDPRが適用されるには、当該域内拠点の活動が、EU域外組織のデータ処理活動と密接に関連していなければならない。そのような関連性が存在するかどうかは、事実と状況を考慮して、ケースバイケースで判断されることとなる。
個人データがEU域外組織のデータ処理活動と密接に関連して処理される場合、GDPRは、当該データの主体である個人がEU域内に所在するか否かにかかわらず適用される。GDPRは、「規則により与えられる保護は、その国籍又は居住地の如何を問わず、自然人の個人データの処理に関して自然人に適用されるべきである。」と明確に述べている。
例:電子商取引プラットフォームを運営する日本企業が、EU域内でマーケティング・キャンペーンを開始するために欧州事務所を設立した。データ処理業務は、日本所在の事務所が専任で行っている。欧州事務所の活動は、プラットフォーム上で提供されるサービスをより収益性の高いものにすることを意図している。このような場合、欧州事務所の活動は日本の電子商取引プラットフォームによって実行される個人データの処理と密接に関連している。よって、個人データの処理は、GDPRの適用を受ける。 |
急速な技術発展と国境を越えた個人情報の流れの増加を考慮して、EU議会はEU域内の個人を対象とする場合にはGDPRが適用される旨を決定した。当該決定により、個人データの処理が以下のいずれかに関連する場合、GDPRが適用されることとなった。
(a)EU域内の個人に対する商品又は役務の提供(支払が必要か否かを問わない。)
(b)EU域内で行われる、個人の行動のモニタリング
組織がEU域内の個人に商品や役務を提供しているか判断要素としては、現地語の使用、現地通貨の使用、欧州の顧客への言及、EUへの送料の表示などが挙げられる。商品や役務を提供しているとされる場合、組織がEU域内の個人の個人データを処理する際GDPRが適用される。
例:日本の事業者が、ウェブサイト上で、自社のWeb開発サービスについて申込みを受け付けている。そのウェブサイトは日本語、英語、スペイン語及びドイツ語で公開されている。報酬の支払いは、日本円、米ドル又はユーロで行うことができる。当該サービスはEU域内の顧客を対象としたサービスであり、ウェブサイトを運営する日本企業のデータ処理はGDPRの適用を受ける。 |
個人データの処理は、当該データがEU内の個人のモニタリングに関連する場合、GDPRの適用対象となる。典型的なケースは、クッキー及びトラッキングピクセルによるインターネット上のユーザの追跡、GPSデータの収集及び行動広告である。GDPRが適用されるには、モニタリング対象者はEU域内にいなければならない。EU域内のモニタリングを監視することを意図しておらず、EU内でのモニタリングが偶発的である場合、GDPRは適用されない。
例:ヨーロッパの空港でストップオーバー中、日本人が日本のプレイストアでのみ提供されるアプリをダウンロードした。アプリは、各人のGPSデータを追跡し、個人情報を収集する。本アプリの開発会社は、EU域内の個人データを収集する意図はないため、GDPRは適用されない。 |
GDPRの下では、個人データの処理は適法でなければならない。適法な場合は、大まかに言って、以下のいずれかの場合に限られる。
どのような場合にこれらに該当するかは次稿で検討することとする。
仮に個人データの処理がGDPRに違反していると判断されれば20,000,000ユーロ以下の制裁金、又は侵害者が事業体である場合には、前年度の全世界年間売上高の4%以下の制裁金が課せられることがある。British AirwaysがGDPRに違反し、2017年全世界年間売上高の1.5%である約250億円の記録的な制裁金を課されたほか、ホテルグループのMarriott Internationalに対して約135億円の制裁金が課された事例や、Googleに対して約62億円の制裁金が課された事例などもあり、これに加え、レピュテーションリスクも過小評価されるべきではない。また、個人が違反者に対して損害賠償を請求したり、競争事業者が不正競争として苦情を申し立てたりすることもある。
図表:英国内における最大級の制裁金一覧(2012年から2019年)[5]
GDPRの下では、個人データは、組織が適切なセーフガードを実施している場合又は適用の免除が適用される場合にのみ、適切なレベルのデータ保護を提供するEU域外諸国に移転することができる。
欧州委員会は、2018年、日本が個人情報について十分な水準の保護(いわゆる十分性認定、adequate level of protection)行っていると認定した。この認定は、日EU経済連携協定(EPA)及び戦略的パートナーシップ協定(SPA)の一環として行われ、2019年1月23日に発効された。日本は現在、EUが十分性認定を行っている13か国の一つである。
以下は、欧州委員会が十分性認定を行っている国のリストである。米国については、Privacy Shield [6]が定めるルールに則って個人データを扱う場合に限り、EU域内にある個人データを米国内に移管することができる。
アンドラ | アルゼンチン | カナダ | フェロー諸島 |
ガーンジー | イスラエル | マン島 | 日本 |
ジャージー代官管轄区 | ニュージーランド | スイス | ウルグアイ |
米国 |
上記の国への個人データの転送には、当該国の法令に従う限り、関係する個人によるなんらの許可を必要とせず、また、なんらのセーフガードも不要である。この点で、データが自由に移転可能なEU域内での個人データの転送に類似している。
我が国が欧州委員会から十分性認定がなされたことにより、(2)で述べるような煩雑な手続きがなされなくとも、EU域内から日本に個人データを移管することができるようになった。疑義を避けるために付言すると、当然のことながら、日本企業は個人データの移転に関する条項以外のGDPRの条項の適用を免れるものではない。これに加えて、日本の個人情報の保護に関する法律とGDPRの齟齬を補完するためのルールである「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」が個人情報保護委員会から2018年9月に公表されており、EU域内から日本に移転されたデータについては、当該ルールを遵守する必要がある。
欧州委員会による十分性認定がない場合、データは、適切なセーフガードが実施され、又はデータが移管された個人が法的救済を受けることができる場合に限り、EU以外の国に移管することができる。
適切なセーフガードには監督機関からの個別の承認を得る場合のほか、次のものが含まれる。
移転が適切なセーフガードに基づかない場合には、個人データは、適切なセーフガードがないことにより考えられるリスクについて個人が通知を受けた後に、当該個人が移転に明示的に同意した場合に限り、EU域外諸国に移転することができる。
その他移転を行うことができる場合には、次の場合を含む。
GDPRは、EU域外の組織にも多くの影響を及ぼしており、違反には厳しい罰則が科されうること、GDPRの施行から約1年の間にGDPR違反により多額の制裁金を課された事例が複数出てきていることからすると、日本企業としても、GDPRの適用を受けるか否かを改めて確認し、対応策を検討すべきであろう。
[1] 個人データの取扱いと関連する自然人の保護及び当該データの自由な移動に関する並びに指令95/46/ECを廃止する2016年4月27日の欧州議会及び理事会規則(EU)2016/679
[2] 個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の指令95/46/EC
[3] GDPR第4条第1項
[4] GDPR第4条(2)。
[5] BBC(2019年7月8日) 「British Airways faces record 183m fine for data breach」 <https://www.bbc.com/news/business-48905907> 2019年7月9日アクセス
[6] EUに所在するデータ主体である自然人の救済手段の強化のため、自然人からの申立てへの45日以内の企業の対応義務などが設けられている。