20 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回は、「地理的適用範囲ガイドライン」[1]（以下「ガイドライン」という）の解説の最終回として、ある企業(特に日本企業その他EU域外の企業)(「処理者」)が他の企業(「管理者」)に代わり個人データの処理を行う場合にその処理者の処理にGDPRが直接適用されるか否かかという問題(以下「本問題」という)について解説します。

【目　　次】

（各箇所をクリックすると該当箇所にジャンプします）

ガイドラインでは、本問題に関する具体例が二箇所に分かれて示されており、しかも、その説明自体も非常に分かりにくいものとなっています。しかし、これらはGDPR 第3条の規定に即して整理し直せばより容易に理解することができます。

そこで、以下においては、先ず、本問題に関しGDPR 第3条の規定から直接導き出される原則を確認し、その後ガイドラインに挙げられている具体例の場面、その理由付けおよび結論を、この原則に即して筆者の言葉で説明していきます（但し例18は不明点があるので省略）。なお、以下において（　）内の数字は条文番号であり、[ ]内は筆者による補足・追加等、例の番号はガイドラインの例の番号の通りです。

本問題の原則①～④

原則①： 処理者がその本社その他拠点をEU域内に有する場合、その処理者による個人データの処理については、処理される個人データがEU域内にいるデータ主体の個人データでなくても、常にその処理者の処理にGDPRが適用される(3(1))。

原則②：処理者が日本企業その他EU域内で設立されていない企業だが、その処理者によるEU域内にいるデータ主体の個人データの処理が当該データ主体に対する商品またはサービスの提供に関連する場合には、その処理者による処理にGDPRが適用される(3(2)(a))

原則③：処理者が日本企業その他EU域内で設立されていない企業だが、その処理者によるEU域内にいるデータ主体の個人データの処理が当該データ主体のEU域内における行動のモニタリングに関連する場合には、その処理者による処理にGDPRが適用される(3(2)(b))。

原則④：上記原則①～③のいずれにも該当しない場合、処理者による個人データの処理にGDPRが適用されることはない。

但し、管理者について(上記原則①～③と同様の原則から)GDPRが適用される場合、当該管理者は処理者との間でGDPR第28条に定める事項を含む個人データの処理委託契約を締結しなければならず、同契約を通じ処理者も事実上GDPRの間接的な適用を受ける。

原則①の具体例

【例７】メキシコ企業Aが、メキシコ市場限定サービスの顧客の個人データの処理を、スペインに設立されている企業Bに委託する場合：

⇒処理者であるスペイン企業Bはその拠点をEU域内に有するから、その個人データの処理については、処理される個人データがEU域内にいるデータ主体（メキシコ市場限定サービスの顧客＝メキシコ居住者）の個人データでなくても、常にGDPRが適用される(3(1))。

[従って、日本企業がその日本国内の社員の個人データの処理をEU域内の子会社に委託する場合、日本企業はGDPRの適用を受けないが、EU域内の子会社はその個人データが日本国内の社員のものであってもGDPRの適用を受ける]

原則②の具体例

【例21】トルコの企業Aが、英語・仏語・スペイン語表示のWebサイトを通じ英語・仏語・スペイン語でのツアーガイド付き中東旅行を提供。同サイトではオンライン予約およびユーロ・英ポンドでの支払可能。同社は、チュニジアに設立されているコールセンター（処理者）Bに対し、過去の顧客に旅行のフィードバックの依頼および新たな旅行の宣伝を行うことを委託。

⇒チュニジアのコールセンター(処理者)BはEU域内で設立されていない企業だが、処理者BによるEU域内にいるデータ主体(過去のEU域内顧客)の(旅行のフィードバックの依頼および新たな旅行の宣伝のための)個人データの処理は(Aによる)EU域内のデータ主体に対するサービス(ツアーガイド付き中東旅行)の提供に関連するから、Bによる処理にGDPRが適用される(3(2)(a))

（また、管理者であるトルコ企業Aの処理にも原則②と同様の原則からGDPRが適用される(3(2)(a)。)

原則③の具体例

【例19】ブラジルの企業Aが、EU域内にある顧客に商品（食材とレシピ）をオンライン販売。企業Aは、ブラジルで設立されている企業Bに対し、同顧客の過去の注文に基づき特別商品を開発することを委託。

⇒処理者Bはブラジル企業でありEU域内で設立されていない企業だが、BによるEU域内にいるデータ主体(向けの特別商品開発のための)の個人データの処理は当該データ主体のEU域内における行動(注文履歴)のモニタリングであるから、Bによる処理にGDPRが適用される(3(2)(b))。

(なお、処理者Bの処理は、(Aによる)EU域内のデータ主体に対する商品の提供に関連するから原則②によってもGDPRが適用される(3(2)(a))。また、管理者である企業AもEU域内のデータ主体に対する商品の提供に関連しその個人データを処理するのでその処理にも原則②と同様の原則からGDPRが適用される(3(2)(a))。)

【例20】米国企業Aが健康アプリをEU域内のユーザにも提供しこれに関連しその個人データを処理。企業Aは当該個人データの保存のため米国で設立されているクラウドサービス事業者Bを利用。

⇒処理者である米クラウドサービス事業者BはEU域内で設立されていない企業だが、その処理者によるEU域内にいるデータ主体の個人データの処理(保存)は(企業Aによる)当該データ主体の健康状態のモニタリングに関連するから、Bによる処理にGDPRが適用される(3(2)(a))。

（なお、管理者である米国企業Aによる処理(EU域内ユーザの健康状態のモニタリング)にも原則③と同様の原則からGDPRが適用される(3(2)(b)。)

原則④の具体例

【例６】フィンランドの企業Aがロシアのサーミ族に関する調査を行うため、カナダ企業Bにロシアのサーミ族の個人データの処理を委託する場合：

⇒処理者であるカナダ企業による処理は原則①～③いずれにも該当しないから、原則④によりGDPRが（直接）適用されることはない。

但し、管理者であるフィンランド企業Aには原則①と同様の原則から常にGDPRの適用があり、同企業は処理者であるカナダ企業Bとの間でGDPR第28条に定める事項を含む処理委託契約を締結しなければならず、同契約を通じカナダ企業Bも事実上GDPRの間接的な適用を受ける。

今回はここまでです。次回はGDPRの実体的適用範囲、具体的にはどのような個人データの処理にGDPRが適用されるかについて解説します。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

NEW!! 『中国の国家安全保障と「中国サイバーキュリティー法」の執行規定～「公安機関インターネットセキュリティー監督検査規定」の概要～』企業法務ナビ, 2020/09/24

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」『国際商事法務』 2020年8月号

「プライバシーシールド（米国への十分性認定）無効判決の概要と影響～ EU司法裁判所Schrems II事件判決～」企業法務ナビ, 2020/07/31

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[2]

【注】

[1] 【「地理的適用範囲ガイドライン」】 “Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - Version 2.1” - 日本の個人情報保護委員会の原文併記訳はこちら

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録