2018年5月に欧州E U一般データ保護規則 (GDPR)が施行されました。それはプライバシーを規定する法律ですが、データに依存するデジタルサービス提供者のみならず、世界中のすべての産業分野の、すべての大きさの会社が、その影響を受けることになりました。欧州圏外に位置する会社の多くの幹部職、I T マネージャーやコンプライアンスに携わるプロは、G D P Rが適用されるのか、また、どの範囲で適用されるのか、またそれが会社のビジネスにどのような影響を与えるのか、明確でないため、不安を感じています。
G D P R の適用範囲が広いこと、また、それに基づいて発生する責任リスクが重大であることを考慮すると、その不安には根拠があり、しかも急を要する事態であるということができるでしょう。日本のみに拠点を持つ会社が、欧州内で経済活動を行う場合のG D P Rの関連性について概要をここでまとめました。
その前に、G D P Rの基本を少し
G D P Rは、識別された、あるいは識別されうる自然人に関するいかなる情報の利用をも包括的に規定する枠組みです。個人データを取得・利用する場合、G D P R に従って、会社は、透明性、説明責任、および、個人の同意を事前に取得するという原則を守らなければなりません。
どの業種がG D P Rによって影響を受けるのでしょうか。
G D P Rは業種別に対応をするのではなく、すべての業種に適用できるワンサイズ規定でデータ保護に臨みます。G D P Rは状況を問わず、個人データが取得、利用される環境で随時、適用されます。顧客関係、商品に纏わる顧客の行動分析、マーケティング、人事業務、商品配送、ウェブサイトの運営、携帯アプリ、その他、オンラインサービスといった環境においてG D P R は適用されます。
G D P Rが適用されるビジネス活動とはどのようなものでしょうか。
G D P Rはすべてのデータ取り扱いに適用されます。その際、データ取り扱いとは広義で使われ、以下に挙げる活動が含まれます。
- ウェブサイトを訪問する顧客のI Pアドレスの取得、登録ユーザーのEメールアドレスの取得、
- 小包配送のための注文および依頼の取り扱い
- 全てのI T 環境における顧客行動の履歴取得、分析
- 商品オファーや請求書の送付などのコミュニケーション
- 人事データをデータベースあるいはくらうぢに保管する行為
E U圏外の会社のG D P R適用の有無を判断する際、「データ取り扱いの諸活動」という法的概念で、会社内でのビジネスプロセスを見る必要があります。G D P Rは、どのような業種の会社であるかということよりも、特定のビジネスプロセスが行われるかどうかが、義務を課されるか、課されないかの判断基準となるのです。例えば、E Uの顧客を管理するために顧客関連情報を保管するシステムを設置している場合、G D P Rの適用を受けます。それに対して、日本を拠点とする従業員のマスターデータを保管することはG D P Rに基づく義務を発生させません。
G D P Rにおける役者たち
流動化されたデータは、金銭価値を得ます。取引先と個人データの共有、他データと適合、分析、保管したり、集計したりすることができます。
G D P R においては、データの2つの異なった所有レベルを識別する必要があります。一つ以上の会社が業務プロセスに参加している場合、責任の所在を明確にするために識別する必要があるのです。
- 「データ管理者」とは 法的な主体であり、単独であるいは、他社と共同して個人データ取り扱いの目的を決定する主体のことをいいます。この会社が必要データを使ったビジネス活動に関する責任者であり、通例の場合、データ取り扱いによる利益が還元する会社です。
- 「データ取り扱い者」データ管理者のために個人データの取り扱いを行う法的主体のことをいいます。この定義にはB2B業者やSaaS、ホスティング、ITメンテナンス、クラウドや会計といったサービスを提供する会社が含まれます。
GDPR により全ての責任を課されるのはデータ管理者で、多くの規定や条件を満たさなければならないのに比べ、データ取り扱い者の責任は制限されています。G D P Rがその会社に適用されるかどうかを判断する上でデータ管理者とデータ取り扱い者を判別することが大事です。これについて以下説明していきます。
GDPRは日本の会社に適用されますか。
各国のデータ保護監督機関によって形成された公式機関である、EUデータ保護委員会が2019年11月13日にEU圏外での適用に関する条項の解釈について、ガイドラインを発行しました。この集約を以降ご覧ください。
日本を拠点とするデータ管理者
E U圏内に拠点のないデータ管理者による、EUに滞在するデータ主体の個人データ取り扱いはG D P R に従わなければなりません。ただし、個人データの取り扱いが以下の2つの活動に関連して行われる場合に飲み適用されます。
- 有償無償にを問わず商品やサービスの提供に関する取り扱い、または
- EU域内で行われるデータ主体の行動の監視に関する取り扱い
よってEUの個人データを取り扱う意図なく、個人データが取り扱われた場合は、G D P R は適用されません。例えば、日本の市場をターゲットとした携帯アプリによりE U圏内を旅行中のユーザーの個人データが取得された場合、G D P Rの適用は受けません。日本市場のみをターゲットとしていることを決定するポイントとして、例えば登録をする際に日本の電話番号を持っている必要がある場合、あるいは一般取引約款において提供されるサービス対象が日本人のみに限定されていること、また支払いが日本円に限られることがあげられます。
EUデータ保護委員会によれば、G D P Rが適用される前提要件には2つあり、それらが同時に当てはまる場合に適用されます。一つ目の条件は、EUに滞在するデータ主体の個人データが取り扱いの対象となること、そして会社のビジネス目的がEU市場であること、又は、EU域内でデータ主体の行動の監視に関する取り扱いが行われること。
適用条件1: EUに滞在するデータ主体
EUに滞在するデータ主体の個人データが取り扱い対象となった場合にのみG D P Rが適用されます。EUデータ保護委員会によれば、この条件はデータ主体の国籍や永住地を基準としているのではなく、滞在地を基準に評価します。逆に言えば、EU圏外に滞在するEU国籍者や、E U圏外を旅行するE U国籍者の個人データが取り扱われた場合には、G D P Rは適用されないという事を暗示します。
例えばスペイン国籍者が中国を旅行し、中国の会社によってオペレートされている携帯アプリを使う場合、中国の会社は個人データを取得しますが、この取得行為にG D P Rは適用されません。しかしながらスペインに住む中国国籍者が同じアプリを使う場合、アプリによる所在地の取得はG D P Rの適用範囲下に入ります。ただし、その携帯アプリに下に述べる適用条件が当てはまる場合に限ります。
適用条件に: EU市場をターゲット/個人行動の監視
二つ目適用条件として、個人データを取り扱う会社のビジネス活動(EUのデータ主体に対して商品やサービスを提供すること)が有償無償を問わず、EU市場をターゲットとしている事です。
EUデータ保護委員会によれば、この条件は以下のビジネス活動に含まれます。
- 特定な観光活動など、国際性を帯びるサービスの提供
- .de, .fr., .es. or .eu などの EU圏内トップレベルドメインを使用すること、サービス提供者の拠点で使用する言語とは異なるE U圏内使用する言語をインターネットあるいは携帯アプリで提供すること
- ユーロあるいはEU圏内で使用される通貨による支払い認める。
- 商品・サービス関連の情報提供の文脈においてEUあるいはEU加盟 国の名をあげること、EU圏内の消費者に対して特別なサポートを受けられるコンタクト先を指定すること。
- EU圏内に商品を配送すること。
- 特にマーケティング目的で、プロファイリングを行うこと、行動データをもとにした広告を表示すること、所在地データの取り扱い。
- クッキー、デバイス指紋やその他のトラッキング技術を使ったオンライントラッキング機能による追跡
- パーソナライズしたデジタルダイエットや健康分析サービスの提供。
- 個人プロファイルをもとにした行動研究や市場調査
- 監視カメラシステム(C C T V)
G D P RがEU圏外の会社に適用されるか、されないか、また適用の範囲は、法的審査のもとに個別に判断されるべき内容であります。審査の第一歩目として、弊社では貴社が欧州代理人を指定する必要があるかないかをオンラインでのテストによって判断いたします。G D P R の適用を受ける場合、ほとんどの会社が欧州代理人を指定しなければなりません。
日本に拠点があるデータ取り扱い者
日本に拠点のあるデータ取り扱い者で、その取引相手(データ管理者)が上記で述べた適用条件を満たした場合、G D P R に服することになります。
例 日本に拠点のあるオンライン代理店がGoogle AdWordsを使ってEU消費者をターゲットに、商品広告を行った場合、G D P Rの適用範囲に入ります。もしその代理店がクラウドサービスを使ってEUの消費者情報を管理している場合、そのデータをクラウドで保存することもまた適用条件を満たすこととなります。クラウドを通して販売を行うも者はG D P Rで定められたデータ取り扱い者が負う(制限された)義務を満たさなければなりません。
やっておかなければならないことは?
G D P Rの対象となる日本の会社は、いくつかの法的条件を満たさなければなりません。私たちEU-REP.Globalは、お客様がG D P R 27条を確実に遵守できるよう、欧州代理人を務めるサービスを提供します。
その他、G D P R関連の質問・問題がある場合は、弊社の法律専門パートナーがお客様の相談に応じます。国際的なデータの移転、コンプライアンス書類の作成の援助、また、データ保護責任者を務めるサービスも提供いたします。詳細はお問い合わせください。