General Data Protect Regulation(GDPR, 一般データ保護規則)適用対象の、「拠点」や「商品やサービスの提供」の考え方について解説します。

弊社がGDPR (General Data Protect Regulation、一般データ保護規則、以下GDPR)対策コンサルティングのご紹介をする上で、「自社がGDPRの適用対象なのか分からないが、、、」というご質問が多いです。

今回は事例を交えつつ、GDPRの適用について解説します。

多くのサイトで、GDPR適用対象を説明した3条1項・2項の関係について
3条1項=「EU域内に拠点あり」、3条2項=「EU域内に拠点なし」という形で説明しています。

※本ブログで記載する「EU」はEU域内28ヵ国とノルウェー、アイスランド、リヒテンシュタインを加えたEEA加盟31ヵ国の意味合いで使用します。

ですが原文にはそのような言及はありません。

▼3条1項

This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

▼3条1項 (仮約)

本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。

単にEU域内に支社や子会社、関連会社を有するではなく、EU域内の拠点の活動の過程によって個人データを取扱っているか否か、を問われています。

ではEU域内の子会社や支社、関連会社は、全て「拠点」になるのでしょうか?

答えは前文(22)に記載があります。

▼前文(22)

(22) Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.

▼前文(22) 仮約

EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いは、その取扱いそれ自体がEU域内で行われたか否かにかかわらず、本規則に従って行われなければならない。拠点とは、安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味する。そのような仕組みの法的形式、その支店又は法人格を有する子会社を通じているかは、この点に関する決定的要素とならない。

 

つまり、子会社や支社、関連会社が独立した管理者(Controller)としての実態があるかどうかで判断されるようです。

EU域内の現地法人が、日本法人から個人データの取り扱いの目的及び手段に関する指示や命令を受けずに、個人データを取り扱っている場合は、GDPRが適用されるのは、EU域内の拠点のみで、日本法人はGDPR適用されません。

日本法人とEU域内の拠点の関係性について、社内で確認して頂きたい。

▼事例

製造業(B to B)でEUに現地法人がある。

現地法人が収集した個人データについてGDPRの適用があるか?


■GDPRの域外適用について

EU域内で設立されていない管理者・処理者であっても、以下の(a)または(b)のいずれかの場合には、EUに所在するデータ主体の個人データの取扱いにはGDPRが適用される。

  a) EU域内にいるデータ主体に対する商品やサービスの「提供」をする場合

  b) EU域内のデータ主体の行動の監視 (前文 (24)

EU域内に拠点がない場合とは、原文には書かれていない事に注意して頂きたい。

3条2項

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3条2項の(a)「商品やサービスの提供」とはどういう場合が該当するのでしょうか?

  ☆ 商品やサービスを提供する意図が明白である場合(前文 (23))

これは支払の有無を問いません。(3条2項(a)号、前文 (23))

無料のSNSやゲーム、アプリケーションを配信する場合であっても、該当し得ます。

では、「意図が明白である場合」とは何でしょうか?

原文では、the offering of goods or servicesとあり、”offer”を使用しています。”supply”や”provide”ではない事に注意して下さい。

つまり明示的にEU向けの商品やサービスを提供(offer)している場合が該当します。

EU内で一般的に使われる言語や通貨が使用され、その言語を用いて商品またはサービスを注文できることや、EU域内にいる消費者または利用者に言及しているといった要素が必要です。

例えば英語やフランス語、ドイツ語でのホームページが用意され、ドルやユーロ、ポンドで決済ができ、EU域内への送料の記述など、明らかにEU市場向けの商品やサービスが該当します。

よくあるご質問で、

(Q)弊社は英語のホームページがあるが、そこで商品やサービスの注文を受け付けてはいない。「お問合せ窓口」があるだけですが、この場合はGDPR適用されますか?

というものがあります。

これは適用される可能性は少ないようです。(弁護士先生談)

根拠としては、前文 (23)に

単にEU域内からウェブサイトや当該管理者のメールアドレスにアクセスすることができることや、当該管理者が所在するEU域外の第三国で一般的に使われている言語を使用しているといったことのみでは、そのような意図を確認するのに不十分

と記載があるからです。

次に3条2項 (b)「EU域内のデータ主体の行動の監視」とはどういう場合が該当するのでしょうか?

  ⇒ データ主体の行動がEU域内で発生するものである限り、GDPRが適用される。
  (3条2項 (b)、前文 (24) )

  ⇒ 「データ主体の行動の監視」に該当するか否かの判断基準は?
  前文 (24)に判断基準が示されています。
「自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡(トラッキング)されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡(トラッキング)されているかを確認しなければならない。」

リターゲティング広告やユーザのページ閲覧履歴に基づくダイナミック広告、GPSを使用したゲームや、アプリケーションの提供が、これらに該当し得ます。

まとめ

  • GDPR適用対象は、EU域内の現地法人の有無ではない。
  • EUに現地法人がある場合は、日本法人の「拠点」か、そうでないか確認が必要。
  • EU市民に対する商品やサービスは明示的に「Offer」している場合が適用される。

弊社では、「Pre-study」でお客様の対応したい点や疑問・質問にお答えする形で、
スモールスタートからご提案が可能です。詳細は下記リンクをご参照下さい。

【 GDPR対策コンサルティングサービス|クロス・ヘッド 】
https://www.crosshead.co.jp/products/sec_all/gdpr/