GDPR(一般データ保護規則)のポイント

GDPR(EU一般データ保護規則)とは

GDPRの概要

 GDPR(EU一般データ保護規則)とは、2018年5月25日にスタートした、EUにおける個人データ保護のためのルールです。

 このGDPRが適用される国は、EUに限らず、EEA(欧州経済領域)加盟国であり、具体的には、EU加盟国(28か国)とアイスランド、ノルウェー、リヒテンシュタインです(ただし、以下の記述では、分かりやすさを重視してGDPRが適用される地域を便宜的に「EU」とすることがあります)。

 さて、GDPRは、日本企業にも影響を与えることがあります。それは、一定の場合、EUに拠点のない日本の事業者に対しても適用されるからです。

個人データとは

 個人データとは、EEA域内に所在する、「識別された、又は識別可能な」自然人(an identified or identifiable natural person)に関する全てのデータをいいます(GDPR4条1号)。

 「識別可能な」とは、氏名に限らず、何らかの要素で識別可能な場合をいいます。その要素には、識別番号、位置データ、オンライン識別子のほか、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的なアイデンティ(これらの組合せを含む)が含まれます(GDPR4条1号)。

個人データの地理的範囲

 ここは注意が必要な点です。GDPRが個人データを保護する個人は、EEA域内にいる個人であれば足ります(GDPR3条2項(a)では、”data subjects in the Union”とあります)。

 それで、対象となる個人は、EEAに永続的に住所を定めたり、国籍を持っている人に限らないということになります。

EUに拠点のない日本の事業者にGDPRが適用される場合

適用される場面

 まず、GDPR3条によれば、個人データの「管理者」(controller)や処理者(processor)として、以下のような場合には日本企業にもGDPRが適用される、とあります。

  • EEA域内に拠点(establishment 現地法人、支店、駐在員事務所など)があって個人データを取り扱う場合(GDPR3条1項)
  • EEA在住の個人に対する商品又はサービスの提供に関する処理を行う場合(有償無償を問わない GDPR3条2項(a))
  • EEA域内で行われる個人の行動の監視(モニタリング)を行う場合。(GDPR3条2項(b))

 以上のとおり、EEA域内に事業所がある場合に限らず、日本にしか事業所がない場合でも、GDPRが適用されることがある点、注意が必要です。

 では、自社としては日本の顧客に販売する意図しかないのに、たまたまEUの在住者がインターネットで自社の製品を注文したという場合、GDPRは適用されるのでしょうか。

 以下、EUに拠点のない日本の事業者にGDPRが適用される条件を見ていきたいと思います。まずは、商品やサービス提供に関する条件です。

商品やサービス提供の場合

意図の明白性

 まずこの点でGDPR前文(23)項の規定が指針となります。

 同項には、以下のような条文が含まれています。

EU 域内のデータ主体に対してそのような管理者又は処理者が物品又はサービスを提供しているか否かを判断するために、EU 域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。

In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.

 つまり、EU域内の人への商品やサービス提供の「意図が明白かどうか」が基準とされています。言い換えれば、EU外の事業者がEU域内への販売を意図していないところ、結果的にEU在住者がウェブサイトを見て注文したという場合は、GDPRが適用されるとは、ただちにはいえない、ということになります。

商品やサービス提供~「意図」の有無の判断指標

 では、上にいう「意図」の有無はどのように判断されるのでしょうか。この点も、前文(23)項に述べられています。

 EU域内の管理者等のウェブサイトにアクセスできること、電子メールアドレス若しくはその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分である。[マウスカーソルを載せて原文表示]

 物品及びサービスの注文について加盟国内で一般的に用いられる言語若しくは通貨が使用されていること、又は、EU域内にいる顧客又はユーザーへの言及があることといったような要素があると、その管理者がEU域内のデータ主体に対して物品又はサービスの提供を意図していることが明白となりうる。[マウスカーソルを載せて原文表示]

具体例1~EU内の言語や通貨の使用

 以上を考えると、意図が「明白」とされる可能性が高いケースは、販売サイトにおいてフランス語やオランダ語などが使用され、物品やサービスの価格がユーロでも表示されている場合が考えられます。

具体例2~EU内の顧客への言及

 また、EU域内の顧客への言及として、注文商品の配送料として、EU域内への配送料がウェブサイトにおいて明示されている場合も、「明白」とされる可能性が相当にあると考えられます。

モニタリング(監視)の場合

モニタリング・監視に関する判断指針

モニタリングに関しては、前文(24)項で判断指針が示されています。

 取扱行為がデータ主体の行動の監視と考えられうるか否かを判断するためには、自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない。

  In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.

モニタリング(監視)に関する判断指針の検討

 ここで留意すべきなのは、モニタリングの場合、「自然人がインターネット上で追跡されているかどうか」が判断指針となっており、商品やサービスの提供の場合のような、事業者側の意図という要素が不要、という点で、GDPRの適用の余地がより広くなっているという点です。

 このモニタリングに含まれるものは、閲覧者のネット上の動きに関するデータからレコメンドや行動ターゲティング広告を打つという場合が典型的ですが、そのほか、「自然人がインターネット上で追跡されている」という条件を文字通り受け取れば、cookie等を使用したウェブサイトへのアクセス状況の解析も含まれることになります。

 この点は不明なところが多く、今後ガイドラインの策定などの動きを注視していく必要があると思われます。

法律相談等のご案内


弊所へのご相談・弊所の事務所情報等については以下をご覧ください。



メールマガジンご案内

弊所では、メールマガジン「ビジネスに直結する判例・法律・知的財産情報」を発行し、比較的最近の判例を通じ、ビジネスに直結する法律知識と実務上の指針を提供しております。

学術的で難解な判例の評論は極力避け、分かりやすさと実践性に主眼を置いています。経営者、企業の法務担当者、知財担当者、管理部署の社員が知っておくべき知的財産とビジネスに必要な法律知識を少しずつ吸収することができます。 主な分野として、知的財産(特許、商標、著作権、不正競争防止法等)、会社法、労働法、企業取引、金融法等を取り上げます。メルマガの購読は無料です。ぜひ、以下のフォームからご登録ください。

登録メールアドレス   
<クイズ> 
 これは、コンピュータプログラムがこの入力フォームから機械的に送信することを防ぐための項目です。ご協力をお願いいたします。
 

バックナンバーはこちらからご覧になれます。 https://www.ishioroshi.com/biz/topic/

ご注意事項

本ページの内容は、執筆時点で有効な法令に基づいており、執筆後の法改正その他の事情の変化に対応していないことがありますので、くれぐれもご注意ください。

 事務所案内
 弁護士紹介


メールマガジンご案内


メールマガジン登録
「ビジネスに直結する
判例・法律・知的財産情報」


登録メールアドレス  
<クイズ> 

上のクイズは、ロボットによる自動登録を避けるためです。


ホームページ制作 FX レンタルサーバー比較 フリー素材 無料素材 Webコンサルティング

Copyright(c) 2018 弁護士法人クラフトマン IT・技術・特許・商標に強い法律事務所(東京・横浜)  All Rights Reserved.

  法律相談(ウェブ会議・面談)

  顧問弁護士契約のご案内


  弁護士費用オンライン自動見積


   e-mail info@ishioroshi.com

  電話 050-5490-7836

メールマガジンご案内
ビジネスに直結する
判例・法律・知的財産情報


購読無料。経営者、企業の法務担当者、知財担当者、管理部署の社員が知っておくべき知的財産とビジネスに必要な法律知識を少しずつ吸収することができます。

バックナンバーはこちらから