All photos by courtesy of SuperHeadz INa Babylon.

English
English
Loading

コラム column

2018年7月17日

IT法

「GDPRの域外適用
   ――どんな場合にEUに拠点のないネットビジネスに適用されるのか」

弁護士 二関辰郎(骨董通り法律事務所 for the Arts)

◇ はじめに

EU一般データ保護規則(GDPR)が2018年5月25日から施行された。関連書籍や特集を組む雑誌なども複数出され、世間の注目を集めている。自分のまわりでは、「GDPR」と言うだけで、当たり前のように意味が通じるようになった(自分のまわりが特殊なだけかもしれないが...)。

GDPRは内容的にもいろいろと特徴があり、データ・ポータビリティについては、かつて中川隆太郎弁護士が2016年にコラム「EU一般データ保護規則とEUの挑戦 ―データ・ポータビリティの権利とEUのプラットフォーム対策」を書いた。さらに遡ると、法案段階のことではあるものの、EUの規則とディレクティブ(指令)との関係とか、GDPRの法案全般について、2012年に当方がコラム「新しいEUの個人データ保護規則」を書いた。その後、制裁金の上限が法案段階よりも上げられる(事案によっては4%にアップ)など、法案から変更された点もあるが、全体像についてのイメージをつかむのにはいまだ参考になるかと思う。

さて、本コラムでは、EUに拠点を持っていない企業等に対してどのような場合にGDPRが適用されるか、最近とみに相談の多いネットビジネスに対する域外適用の問題をとりあげる。GDPRの施行にあわせ、ネットや雑誌等でいろいろと関連する情報が出てきているが、この点について正確ではない場合もあるように思える。

◇ 域外適用の根拠条文

GDPRの条文本体は、EUのウエブサイトに公表されている。日本語で読みたい方には、個人情報保護委員会(PPC)が最近ネットに公表してくれた和訳がある。条文だけでなく前文の和訳もあり便利である。
このうち、域外適用の根拠条文は、3条2項。その英文と和訳(和訳は上記PPCのウエブサイトによる)を紹介したうえで、若干説明する。


3条2項

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

(b) データ主体の行動がEU域内で行われるものである限り、その行動の監視。

◇ 域外適用される二つのルート

この条文について若干説明すると、EU域内に拠点を持たない企業等であっても、次の二つのいずれか行っている場合には、GDPRが適用される。

 (a) EU域内のデータ主体に対する物品又はサービスの提供
 (b) EU域内のデータ主体のモニタリング

(b)について、PPCの和訳では、 “monitoring”を「監視」と訳している。しかし、「監視」という言葉はやや重い印象がある。それだと「自分は監視をしているわけではない」と思ってしまう企業等も出てきそうなので、本コラムでは、“monitoring”をそのまま「モニタリング」と訳しておく。

では、この条文が意味する場合は、具体的にはどのような場合なのか。たとえば、EU域外でインターネットを使って物品やサービスを提供している場合に、EUからの顧客も含まれているとしたら、GDPRが適用されることになるのだろうか。

◇ EU規則の解釈指針として前文は重要な意味を持つ

一般に、EUの規則とかディレクティブ(指令)では、規約や指令に含まれる前文が条文の解釈指針として重要な意味を持つことが多い。GDPRについても同様である。GDPRの前文は全部で(173)項ある。頭から読んでいくと条文にたどり着く前に挫折してしまいそうになるが、前文は伊達に長いわけではない。
では、域外適用に関連する前文を見てみよう。

◇ 商品やサービスの提供に関する前文

上記のとおり域外適用には二つのパターン(上記(a)と(b))があるが、このうち、(a)商品やサービス提供に関する条文の解釈指針は、前文(23)項に記載されている。この(23)項は長いので、上記PPCの和訳を利用して日本語訳だけを紹介し、その後で若干説明する。


(23) 自然人が本規則に基づいて与えられる保護を妨げられないことを確保するために、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いは、その取扱行為が、支払いと関係するか否かにかかわらず、そのようなデータ主体に対する物品又はサービスの提供と関連する場合には、本規則に服さなければならない。EU 域内のデータ主体に対してそのような管理者又は処理者が物品又はサービスを提供しているか否かを判断するために、EU 域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。単に管理者、処理者又はその中間介在者のEU 域内のWeb サイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU 域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU 域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうるものである。

ここでのポイントは、第一に、

● EU 域内のデータ主体に対して...物品又はサービスを提供しているか否かを判断するために、EU 域内の...データ主体に対して...サービスを提供しようとする意図が明白かどうかを確認しなければならない

とされている点だ(下線は筆者)。「意図が明白かどうか」が基準とされており、事業者側の主観面が問われている。したがって、事業者側が意図していなかったのに、結果的にEUの顧客からも注文があったというだけでは域外適用を認めるのに不十分と考えられる。

第二に、「意図が明白かどうか」が基準であるから、単に「意図がある」と認められるだけでは不十分ということだ。
この点、巷の雑誌やネット上のGDPR関連の情報では、結果的にEU在住の顧客からの購入や利用があれば、GDPRの適用があるかのように論じているものをいくつか見たが、正確ではない。

そのような「意図」があるか否かを判断するにあたっての指標も前文(23)項に少し示されており、

● 単に...EU 域内の管理者...のWeb サイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分である

とされている。一方、

● 一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU 域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU 域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうる

とされている。
後者(明白とされるケース)は、たとえば、ウエブサイトにイタリア語とかドイツ語などが使われていて、物品やサービスの値段表記としても、ユーロが使われている場合などを意味している。また、たとえば、「スペインのお客様は、本セール期間中特別に10%オフ」などといった「EU域内にいる消費者又は利用者に対する言及」がウエブサイトにある場合なども後者の例と言ってよい。これらの場合はGDPR適用ありとされる可能性が高くなる。

他方、ウエブサイトに英語表記があって、商品やサービスの値段に、円表記だけでなく米ドル表記もある場合はどうか。このような場合、ウエブサイトで使われている言語が日本語だけの場合にくらべればGDPRの適用可能性は高まるかもしれない。しかし、米ドルというEUの通貨ではない通貨が表記されている以上、それだけの事実であれば、「EU 域内の...データ主体に対して...サービスを提供しようとする意図が明白」とまでは言えないのではなかろうか。
もちろん、GDPRに違反した場合の制裁金は高額であり、GDPRが適用されるか否かの判断を誤った場合のリスクは高い。しかし、そうであるからといって、GDPRそれ自体を構成する「前文」に照らした解釈をせずに、極端に安全サイド、つまりGDPRが適用されることを前提とするのも妥当ではないように思われる。

◇ モニタリングに関する前文

モニタリングに関する前文は(24)項である。該当するPPCの和訳を再び紹介してから説明する。


(24) EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いは、そのようなデータ主体の行動の監視と関連する場合においても、そのデータ主体の行動がEU 域内で行われるものである限り、本規則に服さなければならない。取扱行為がデータ主体の行動の監視と考えられうるか否かを判断するためには、自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない。

この前文からわかるとおり、
「取扱行為がデータ主体の行動のモニタリングと考えられうるか否かを判断するため」には、「自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない」。

ここでのポイントの一つ目は、EU規則では、個人データの範囲が日本法よりも広いという点だ。ここでの関連で簡単に述べると、個人データ(personal data)の定義は4条(1)項にあり、「オンライン識別子(online identifier)」によって自然人が間接的に識別される場合も含まれる。そして、その点を説明した前文は(30)項で、「自然人は、デバイスやアプリなどによって...IPアドレス、クッキーのようなオンライン識別子と関連付けられうる」とされている。日本の個人情報保護法では、IPアドレスやクッキーは、特定の端末(PCやスマートフォンなど)の識別にはつながるものの、それを操作する特定の個人の識別にまで結びつくものではないという立場を前提として、IPアドレスやクッキーは個人情報には該当しないという立場をとっていると考えられる。他方、EU法では、PCやスマートフォンなどは一人1台使っていることを前提に、それを操作する特定の個人とも結びつくという立場をとっていると考えられる。つまり、クッキーなどの追跡でも、このモニタリングに該当する場合がある。

ポイントの二つ目は、商品やサービスの提供の場合のように、「意図が明白」といった要件はモニタリングについては要求されていないという点である。それゆえ、ユーザーによるネット上の動きをデータとしてとり、レコメンドや行動ターゲティング広告を打つ類型のビジネスを行っている場合には、結果的に(意図したわけではなくとも)、EUにいる人に対して、そのようなことをしていれば、GDPRの適用を受ける可能性がある。それゆえ、このモニタリングの要件の方が、物やサービスを単に提供しているという場合に比べて、GDPRの適用がなされやすい。そのような事態を避けたければ、EU在住者(厳密にはEEA域内)からのアクセスについては、レコメンドや行動ターゲティング広告といった、ネット上の行動を元として、その人の嗜好等を利用することは止めるといった措置をとるのが安全だ。

◇ 今後の情報に引き続き注視する必要

GDPRの解釈については、GDPRの前身にあたる1995年EUデータ保護指令に基づいて設置されたいわゆる「29条作業部会」が、いくつかのガイドラインを出してきた。GDPRが施行されたことにより、「29条作業部会」は、「ヨーロッパデータ保護委員会」(「EDPB」, European Data Protection Board)という名称の組織に改組された。EDPBは、「29条作業部会」が作成したガイドラインを承認しているので、結果的に「29条作業部会」のGDPRのガイドラインは現在でも有効である。もっとも、現時点では、域外適用に関するガイドラインは存在しない。

条文と前文だけではいまだ不明確な点もある。適用の有無という根本的な問題であるし、国際的な影響も大きいので、EDPBには、この点に関するガイドラインを是非出してほしいものである。いずれにせよ、EDPBなどから関連する情報が出て来ないか、今後も引き続き注視していく必要がある。

以上

※本サイト上の文章は、すべて一般的な情報提供のために掲載するものであり、
法的若しくは専門的なアドバイスを目的とするものではありません。
※文章内容には適宜訂正や追加がおこなわれることがあります。
ページ上へ