General Data Protection Regulation (EU一般データ保護規制) (GDPR) – 概観(パートI)

2019.07.12

昨年5月、GDPRの施行が開始された(EUデータ保護指令は置き換えられた)。それ以来、GDPRはEUのみならず、日本を含む各国において個人データ保護のための重要な判断基準と考えられている。EU内に所在する企業等の組織は、GDPRに日々精通してきているものの、EU域外の企業等組織では依然遵守状況についてはばらつきが見られる。GDPR施行から1年が経過した今、規制[1][2]の解釈を明確にしていきたい。

本稿では、GDPRにより保護される個人データとはどのようなものかということを踏まえて、GDPRがEU域外の組織にどの程度適用されるか概説する。第3項では、EU域内からEU域外への個人データの移管、特に日本への移管について、より詳しく見ていきたい。

1. 個人データとは?

GDPRは、個人データ(personal data)について、「識別され又は識別可能な自然人に関するあらゆる情報」と広く定義している。識別可能な自然人とは、データから直接的に、又は識別子(氏名、位置データ、オンライン識別子等)を参照することによって間接的に識別され得る自然人のことをいう。自然人がデータから識別できるかどうかを決定するためには、すべての合理的な手段(all reasonable means)を考慮しなければならない。特定の個人へ紐付けされ得ないデータは個人データではないため、GDPRの適用を受けない。[3]

個人データの例には以下のものがある。

  • 氏名
  • 自宅住所
  • 氏名の表記を含むメールアドレス
  • 位置データ
  • IPアドレス

2. GDPRはどのような行為に適用されるか?

GDPRは個人データの処理に適用される。処理の定義は非常に幅広く、個人データの収集、記録、編集、構造化、保存、修正、変更、検索、相談、使用、開示、配布、結合、制限、消去及び破棄が含まれる。[4]

処理の例としては、以下が挙げられる。

  • 従業員管理・給与管理
  • IPアドレスやMACアドレスの保存
  • 事業者による、個人の写真のウェブサイトへのアップロード

3. EU域内に実体が無い事業者もGDPRを遵守すべき場合

GDPRの目的は、個人データの処理がEUとの繋がりを有する場合に、高いレベルの保護を確保することである。したがって、GDPRは、当該個人データの処理がEU域内に拠点を持たない組織による場合であっても、下記のいずれかの要件が満たされる場合には適用される。

(a)EU域内に所在する拠点の活動として行われること。

(b)EU域内に所在する個人に対する商品及びサービスの提供、又はEU域内に所在する個人の行動のモニタリングに関連して行われること。

EU域外に拠点を置く組織は、EU域内における現状の配置・展開等が拠点とみなされるかどうか、もしみなされないとしても、個人データが拠点の活動に関連して処理されているかどうかを第一に検討すべきである。例えば、EU域内に販売代理店がいるというだけでは「EU域内に所在する拠点の活動」には該当しないが、以下で述べる要素を有する場合には(a)の要件を満たし、GDPRが適用されうる。

仮に(a)の要件に該当しない場合であっても、組織がEU域内に所在する個人を対象としている場合、(b)の要件に該当するとしてGDPRが適用されうる。

(1) EU域内に所在する拠点の活動として行われること

GDPRは、EU域内に所在する拠点の活動に関連する個人データの処理に適用される。当該処理がEU域内では行われない場合であっても、GDPRの適用対象となる。

① EU域内に所在する拠点

拠点とは、法律上の形式を問わず、安定的な仕組み(stable arrangements)を通じて、実効的かつ現実的な活動を行うものを意味する。したがって、EU非加盟国の組織がEU加盟国のいずれにも支店や子会社を有しないからといって、当該組織がEU域内拠点を有しないとはいえない。従業員が一人、あるいは代理人が一人いる場合には、個々の人員が一定の永続性をもって行動する限り、安定的な仕組みをもっていると認められる場合がある。

なお、EU域内からホームページを閲覧できるという事実だけでは、EU域外の組織がEU域内に拠点を有すると判断される可能性は低いだろう。

② 域内拠点の活動としての処理

GDPRは、域内拠点自体がデータ処理を行うことを要請していない。しかしながら、GDPRが適用されるには、当該域内拠点の活動が、EU域外組織のデータ処理活動と密接に関連していなければならない。そのような関連性が存在するかどうかは、事実と状況を考慮して、ケースバイケースで判断されることとなる。

個人データがEU域外組織のデータ処理活動と密接に関連して処理される場合、GDPRは、当該データの主体である個人がEU域内に所在するか否かにかかわらず適用される。GDPRは、「規則により与えられる保護は、その国籍又は居住地の如何を問わず、自然人の個人データの処理に関して自然人に適用されるべきである。」と明確に述べている。

 例:電子商取引プラットフォームを運営する日本企業が、EU域内でマーケティング・キャンペーンを開始するために欧州事務所を設立した。データ処理業務は、日本所在の事務所が専任で行っている。欧州事務所の活動は、プラットフォーム上で提供されるサービスをより収益性の高いものにすることを意図している。このような場合、欧州事務所の活動は日本の電子商取引プラットフォームによって実行される個人データの処理と密接に関連している。よって、個人データの処理は、GDPRの適用を受ける。

(2) EU域内の個人に対する物品又はサービスの提供及び域内の個人のモニタリング

急速な技術発展と国境を越えた個人情報の流れの増加を考慮して、EU議会はEU域内の個人を対象とする場合にはGDPRが適用される旨を決定した。当該決定により、個人データの処理が以下のいずれかに関連する場合、GDPRが適用されることとなった。

(a)EU域内の個人に対する商品又は役務の提供(支払が必要か否かを問わない。)

(b)EU域内で行われる、個人の行動のモニタリング

① EU域内の個人向け商品・サービスの提供

組織がEU域内の個人に商品や役務を提供しているか判断要素としては、現地語の使用、現地通貨の使用、欧州の顧客への言及、EUへの送料の表示などが挙げられる。商品や役務を提供しているとされる場合、組織がEU域内の個人の個人データを処理する際GDPRが適用される。

 例:日本の事業者が、ウェブサイト上で、自社のWeb開発サービスについて申込みを受け付けている。そのウェブサイトは日本語、英語、スペイン語及びドイツ語で公開されている。報酬の支払いは、日本円、米ドル又はユーロで行うことができる。当該サービスはEU域内の顧客を対象としたサービスであり、ウェブサイトを運営する日本企業のデータ処理はGDPRの適用を受ける。 

② EU域内における個人の行動のモニタリング

個人データの処理は、当該データがEU内の個人のモニタリングに関連する場合、GDPRの適用対象となる。典型的なケースは、クッキー及びトラッキングピクセルによるインターネット上のユーザの追跡、GPSデータの収集及び行動広告である。GDPRが適用されるには、モニタリング対象者はEU域内にいなければならない。EU域内のモニタリングを監視することを意図しておらず、EU内でのモニタリングが偶発的である場合、GDPRは適用されない。

 例:ヨーロッパの空港でストップオーバー中、日本人が日本のプレイストアでのみ提供されるアプリをダウンロードした。アプリは、各人のGPSデータを追跡し、個人情報を収集する。本アプリの開発会社は、EU域内の個人データを収集する意図はないため、GDPRは適用されない。 

4. 個人データの処理及びGDPR違反に対する制裁

GDPRの下では、個人データの処理は適法でなければならない。適法な場合は、大まかに言って、以下のいずれかの場合に限られる。

  • 個人が、所定の方法により、個人データの処理に自由意思に基づき同意した場合
  • 当該個人が当事者である契約の履行のために処理が必要である場合
  • 当該組織が法的義務を遵守するために処理が必要である場合
  • その処理が個人若しくはその他の者の重大な利益(vital interests)を保護するために必要である場合
  • その処理が公共の利益のために行われる業務の履行に必要である場合
  • その処理が組織又は第三者による正当な利益の追求のために必要である場合

どのような場合にこれらに該当するかは次稿で検討することとする。

仮に個人データの処理がGDPRに違反していると判断されれば20,000,000ユーロ以下の制裁金、又は侵害者が事業体である場合には、前年度の全世界年間売上高の4%以下の制裁金が課せられることがある。British AirwaysがGDPRに違反し、2017年全世界年間売上高の1.5%である約250億円の記録的な制裁金を課されたほか、ホテルグループのMarriott Internationalに対して約135億円の制裁金が課された事例や、Googleに対して約62億円の制裁金が課された事例などもあり、これに加え、レピュテーションリスクも過小評価されるべきではない。また、個人が違反者に対して損害賠償を請求したり、競争事業者が不正競争として苦情を申し立てたりすることもある。

page5image1509407264

図表:英国内における最大級の制裁金一覧(2012年から2019年)[5]

5. EUから日本や他のEU域外諸国にいつ個人データを移すことができるか?

GDPRの下では、個人データは、組織が適切なセーフガードを実施している場合又は適用の免除が適用される場合にのみ、適切なレベルのデータ保護を提供するEU域外諸国に移転することができる。

(1) EUから日本への個人データの移管はできるか?

欧州委員会は、2018年、日本が個人情報について十分な水準の保護(いわゆる十分性認定、adequate level of protection)行っていると認定した。この認定は、日EU経済連携協定(EPA)及び戦略的パートナーシップ協定(SPA)の一環として行われ、2019年1月23日に発効された。日本は現在、EUが十分性認定を行っている13か国の一つである。

以下は、欧州委員会が十分性認定を行っている国のリストである。米国については、Privacy Shield [6]が定めるルールに則って個人データを扱う場合に限り、EU域内にある個人データを米国内に移管することができる。

アンドラアルゼンチンカナダフェロー諸島
ガーンジーイスラエルマン島日本
ジャージー代官管轄区ニュージーランドスイスウルグアイ
米国   

上記の国への個人データの転送には、当該国の法令に従う限り、関係する個人によるなんらの許可を必要とせず、また、なんらのセーフガードも不要である。この点で、データが自由に移転可能なEU域内での個人データの転送に類似している。

我が国が欧州委員会から十分性認定がなされたことにより、(2)で述べるような煩雑な手続きがなされなくとも、EU域内から日本に個人データを移管することができるようになった。疑義を避けるために付言すると、当然のことながら、日本企業は個人データの移転に関する条項以外のGDPRの条項の適用を免れるものではない。これに加えて、日本の個人情報の保護に関する法律とGDPRの齟齬を補完するためのルールである「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」が個人情報保護委員会から2018年9月に公表されており、EU域内から日本に移転されたデータについては、当該ルールを遵守する必要がある。

(2) EUから上記以外の国への個人データの移管は可能か?

欧州委員会による十分性認定がない場合、データは、適切なセーフガードが実施され、又はデータが移管された個人が法的救済を受けることができる場合に限り、EU以外の国に移管することができる。

適切なセーフガードには監督機関からの個別の承認を得る場合のほか、次のものが含まれる。

  • EU域内の個人データ保護機関により確認及び修正された、拘束力のある社内規則の実施
  • 委員会が採択又は承認した標準データ保護条項(standard data protection rules)の使用
  • 組織が、監督機関により承認された行動規範を、個人の権利を含む適切なセーフガードを適用するための拘束力のあり執行可能な誓約と共に使用すること。
  • 組織が、監督機関により承認された個人データの移転に関する認証メカニズムを、個人の権利を含む適切なセーフガードを適用するための拘束力のあり執行可能な誓約と共に使用すること。

移転が適切なセーフガードに基づかない場合には、個人データは、適切なセーフガードがないことにより考えられるリスクについて個人が通知を受けた後に、当該個人が移転に明示的に同意した場合に限り、EU域外諸国に移転することができる。

その他移転を行うことができる場合には、次の場合を含む。

  • 個人と組織との間の契約の履行又は個人の請求により講じられる契約前の措置の実施のために移転が必要であること。
  • 組織と第三者との間で、契約を締結し又は個人の利益のために締結された契約を履行するために譲渡が必要であること。
  • 重要な公益上の理由により譲渡が必要であること。
  • 移転が法的請求権の成立、行使又は防御のために必要であること
  • 個人が同意を与えることができない場合で、個人又はその他の者の重大な利益(vital interests)を保護するために移転が必要であること。

6. まとめ

GDPRは、EU域外の組織にも多くの影響を及ぼしており、違反には厳しい罰則が科されうること、GDPRの施行から約1年の間にGDPR違反により多額の制裁金を課された事例が複数出てきていることからすると、日本企業としても、GDPRの適用を受けるか否かを改めて確認し、対応策を検討すべきであろう。

  • 本稿の内容は、関係当局の確認を経たものではなく、法令上、合理的に考えられる議論を記載したものにすぎません。
  • 本稿に記載の見解は、当職らの現状の見解に過ぎず、当職らの見解に変更が生じる可能性があります。
  • 本稿は、Blog 用に纏めたものに過ぎず、また一般的な情報提供であり、具体的な法的助言ではありません。具体的な案件については、当該案件の個別状況に応じ、日本法または現地法弁護士の適切な助言を求めて頂く必要があります。

[1] 個人データの取扱いと関連する自然人の保護及び当該データの自由な移動に関する並びに指令95/46/ECを廃止する2016年4月27日の欧州議会及び理事会規則(EU)2016/679

[2] 個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の指令95/46/EC

[3] GDPR第4条第1項

[4] GDPR第4条(2)。

[5] BBC(2019年7月8日) 「British Airways faces record 183m fine for data breach」 <https://www.bbc.com/news/business-48905907> 2019年7月9日アクセス

[6] EUに所在するデータ主体である自然人の救済手段の強化のため、自然人からの申立てへの45日以内の企業の対応義務などが設けられている。