おはようございます!マネジメントオフィスいまむらの今村敦剛です。
今日はGDPRの地理的適用範囲(Territorial Scope)についてまとめたいと思います。地理的適用範囲とは、地理的に(EU域内か域外か)、どこまでの範囲がGDPRの適用範囲になるのかを示すものです。
地理的適用範囲 Territorial scope
おおざっぱに言えば、①EU域内に「拠点」のある組織、②EU域内に拠点がなくても、EU域内の個人に商品、サービスを提供したり、EU域内の個人を監視するEU域外の組織、の両方にGDPRは適用されます。管理者であろうが処理者であろうが適用されます。
これを定めているのがGDPR第3条(1)です。下記に引用しましょう。日本語仮訳だけを引用します。
本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
個人情報保護委員会 一般データ保護規則の条文 より
ここでは「拠点」と日本語訳されていますが、原文では"establishment"です。この語の明確な定義というのはないのですが、前文22項に次のような説明がなされています。要は、法人格の有無を問わず、EU域内における事業の実態があればそれが「拠点」とみなされうるということのようです。
Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.
拠点とは、安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味する。そのような仕組みの法的形式、その支店又は法人格を有する子会社を通じているかは、この点に関する決定的要素とならない。個人情報保護委員会 一般データ保護規則の前文 より
また、処理がどこで行われようが(EU域内であろうが域外であろうが)、このような「拠点」が絡む処理はGDPRの対象となる可能性があります。よく知られた例としては、2010年にスペイン人男性がGoogleスペインとGoogle米国本社に対してデータの削除を求めた裁判があります。Googleスペインでは、広告スペースの販売を行っているだけの子会社でした(検索エンジンによる処理自体は米国本社で行っている)が、欧州司法裁判所はデータの削除を求める判断をしました。
EU域外の拠点・組織に対する適用について
我々日本の企業として気になるのは、日本の企業であるわが社がGDPRの適用を受けるかどうかということだと思います。それについては、GDPR第3条(2)に次のように定められています。日本語仮訳だけを引用します。
2. 取扱活動が以下と関連する場合、本規則は、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。又は
(b) データ主体の行動がEU 域内で行われるものである限り、その行動の監視。
個人情報保護委員会 一般データ保護規則の条文 より
これだけではよくわかりませんので、補足として前文(23)を確認したいと思います。(日本語仮訳だけ引用します)
自然人が本規則に基づいて与えられる保護を妨げられないことを確保するために、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いは、その取扱行為が、支払いと関係するか否かにかかわらず、そのようなデータ主体に対する物品又はサービスの提供と関連する場合には、本規則に服さなければならない。EU 域内のデータ主体に対してそのような管理者又は処理者が物品又はサービスを提供しているか否かを判断するために、EU 域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。
個人情報保護委員会 一般データ保護規則の前文 より
ここに「サービスを提供しようとする意図が明白かどうか」とあるので、そういうつもりはなかったけどたまたま欧州の人に売れてしまった、というのは対象とならない可能性もあります。「意図」が「明白」かどうかという点については、前文(23)に例示されています。(日本語仮訳だけを引用します)
単に管理者、処理者又はその中間介在者の EU 域内の Web サイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU 域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU 域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうるものである。
個人情報保護委員会 一般データ保護規則の前文 より
行動の監視 Monitoring of behavior
GDPR第3条(2)(b)には、「データ主体の行動がEU 域内で行われるものである限り、その行動の監視」はGDPRの適用範囲にあると定めています。この「監視」についても前文(24)で補足されています。日本語仮訳だけを見てみたいと思います。
(24) EU 域内に拠点のない管理者又は処理者による EU 域内のデータ主体の個人データの取扱いは、そのようなデータ主体の行動の監視と関連する場合においても、そのデータ主体の行動がEU 域内で行われるものである限り、本規則に服さなければならない。取扱行為がデータ主体の行動の監視と考えられうるか否かを判断するためには、自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない。
個人情報保護委員会 一般データ保護規則の前文 より
なおGDPRでは、このような監視のための機器が欧州内にあるかどうかは問われていません。このような監視を行う企業は、EU域外の企業でも適用されるとみる必要がありそうです。