EUデータ保護規則(GDPR)―どのような場合に日本企業に適用されるのか

EUデータ保護規則は、EUデータ保護指令と比べて適用される企業の範囲が広がっています。
日本企業の備えとしては、まず自社がEUデータ保護規則が適用される企業であるかどうかをチェックする必要があります。3つの項目でチェックしてみましょう。

3つの適用範囲に関するチェック項目

(1)EUの1つ以上の構成国に管理者または処理者となる拠点を設置しているか。
(2)国際公法によって、構成国の国内法が拠点に適用されるか。
(3)EU内のデータ主体に対し商品やサービスを提供しているか、またはEU内のデータ主体の行動を監視しているか。

(1)と(2)は、EUデータ保護指令と変わりません。つまりEU内かまたは国際公法によって構成国の国内法が適用される地域内のいずれかに、日本企業が管理者または処理者としての拠点を有している場合には、EUデータ保護規則が適用され、規則を遵守する義務が生じます。
拠点とはestablishmentを和訳したものですが、安定した設備を通じた効果的かつ現実の活動の実施を意味し、安定した設備が支店か法人格を有する子会社かという法的な形式は問われていません(前文22)。
また、実際のデータ処理がEU内で行われているかどうかは関係がありません。

要注意:EU内のデータ主体に対する商品やサービスの提供

注意を要するのは(3)です。EU指令から大きく変更があった部分です。
(1)にも(2)にも該当しない場合、たとえば物理的には日本にある会社が、EU内のデータ主体に商品やサービスを提供する場合、またはEU内のデータ主体の行動をモニタリングしている場合には、EUデータ保護規則が適用されることになります。具体例としては、インターネット上で商品やサービスを提供している例を思い浮かべればよいかと思います。

なお、商品やサービスの提供は、支払いの有無は関係ありません(3条2項、前文23)。したがって、無料のゲームをインターネット上で提供する場合であっても商品やサービスの提供に含まれます。

EU内のデータ主体に商品やサービスを提供しているかどうかは、EU構成国内のデータ主体に向けて商品やサービスを提供していることが明らかであることが必要です。EU内のデータ主体が、商品やサービスを提供しているウェブサイトにアクセスすることができるというだけでは足りず、商品やサービスの注文ができるように構成国の言語や通貨を使用したり、構成国内の顧客やユーザーに言及していることなどの要素を考慮する必要があります(前文23)。
EU内のデータ主体が、日本企業の提供する商品やサービスについてウェブサイトにアクセスしただけでは、EUデータ保護規則が適用されるわけではないことに注意してください。

一方、データ主体の行動の監視であるかどうかは、データ主体について決定したり、データ主体の好み、行動、態度を分析・予測のために自然人をプロファイリングする個人データの処理技術の潜在的な使用を含めて、インターネット上で自然人を追跡しているかどうかを考慮する必要があります(前文24)。

(3)に該当する場合、(1)と(2)に該当する場合と同様に①EUデータ保護規則の遵守が生じ、さらに、②上記の活動を行っている構成国中の1国内で代理人を指定する義務が生じます。

フローチャートによるチェック

 

フローチャートを作成してみましたので、EUデータ保護規則の適用の有無をチェックしてみてください。

eu%e3%83%87%e3%83%bc%e3%82%bf%e8%a6%8f%e5%89%87%e3%81%ae%e9%81%a9%e7%94%a8%e7%af%84%e5%9b%b2

 

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。