18 海外法務, コンプライアンス, 情報セキュリティ, 外国法

前回はGDPR第3条の地理的適用範囲に関するEDPB（監督機関の連合体）の「地理的適用範囲ガイドライン」(日本の個人情報保護委員会の訳はこちら)のうち同ガイドラインで「拠点基準」と呼ばれている第3条第1項に関する部分を解説しました。

今回はEDPBガイドラインのうち「ターゲット基準」と呼ばれている第3条第2項に関する部分を解説していきます。

【目　　次】

（各箇所をクリックすると該当箇所にジャンプします）

Q1: GDPR第3条第2項の規定内容は？

Q2: GDPR第3条第2項(a)の「EU域内にいるデータ主体」の意味は?

Q3: 「EU域内の個人も意図的にターゲットにしている」の判断基準が良く分かりません。より簡単・機械的に判断できる基準はありますか？

Q1: GDPR第3条第2項の規定内容は？

A1: 以下通りです。

【第3条第2項】

「GDPRは、EU域内で設立されていない（not established in the Union）^[1]管理者または処理者による、EU域内にいるデータ主体の個人データの処理が次のいずれかに関連する場合、当該処理に対し適用される。

(a) EU域内にいるデータ主体に対する物品またはサービスの提供

(b) データ主体のEU域内における行動の監視(monitoring)」

page top

Q2: GDPR第3条第2項(a)の「EU域内にいるデータ主体」の意味は?

A2: GDPR第3条第2項(a)によりEU域内で設立されていない企業（例：日本で設立された会社）にGDPRが直接適用される要件の一つであり、EDPBの「地理的適用範囲ガイドライン」(日本の個人情報保護委員会の訳はこちら)（以下単に「ガイドライン」という）によればその判断基準・具体例は以下の通りです。

（ガイドラインの要旨）

【データ主体の国籍、市民権、居住地等】そのデータ主体（個人）がEU域内にいる限り無関係。

【「EU域内にいる」か否かの判断時点】そのデータ主体に対する物品・サービスの提供時点またはそのデータ主体の行動のモニタリング時点。

【データ主体をターゲットとする意図】第3条第2項は、EU域内にある個人を（過誤によりまたは偶発的に(inadvertently or incidentally)ではなく）意図的に(intentionally)「ターゲット」とするサービスの提供に関連する個人データ処理を適用対象とする。従って、その処理がEU域外の国の個人にのみ提供されるサービスに関連するのであれば(仮にその個人がEU域内に入国した後そのサービスが継続されるとしても)その処理に対しGDPRが適用されることはない。

【例８】(データ主体をターゲットとする意図がないとされる具体例)

豪州の企業が、豪州内ユーザのみを対象とした嗜好・関心に基づくモバイル向けニュース・ビデオ配信サービスを提供（ユーザはサービス開始時に同国内の電話番号登録）。この豪州のユーザが休日にドイツを旅行した場合でもサービスの利用可能。

この場合、このサービスはEU域内の個人を「ターゲット」しているとは言えないから、その個人データの処理にGDPRが適用されることはない。

【例９】(データ主体をターゲットとする意図があるとされる具体例)

米国で設立されEU域内には拠点を有しない米国企業が、観光客向けに地図提供サービスを提供している場合（また、このサービスでは、ユーザのいる観光地等の場所に応じたターゲティング広告を配信し、そのためユーザの位置データを取得し処理する。サービスはユーザがロンドン、パリまたはローマにいても利用可能）：

米国企業は、地図サービスの提供時点で「EU域内（ロンドン、パリまたはローマ）にいるデータ主体」を「ターゲット」して同サービスを提供し、それに関連してその個人データを処理している。従って第3条第2項(a)に該当しGDPR の適用を受ける。更に、同企業は、ユーザがEU域内にいる場合でも、上記ターゲティング広告を配信するためその位置データを処理している。従って、この処理は第3条第2項(b)[EU域内におけるデータ主体の行動の監視(monitoring)]にも該当する。（[　]内は筆者の補足。以下同じ）

【解　説】

上記の例８と例９の差は非常に微妙です。決定的な差は問題となるサービスが「EU域外の個人にのみ」提供されるものかそれとも「EU域内の個人にも」利用可能かという点にしかなく、そのどちらに評価されるのかは個別ケースの具体的事情による判断と思われます。

例えば、日本企業がスマホのアプリで、上記例8のようなニュース・ビデオ配信サービスまたは上記例9のようなユーザの位置データを利用する地図提供サービスを提供し、ユーザがEU域内に入った後もサービスの提供が継続される場合、以下のように個別のケースごとにGDPRの適用を受けるか否かの判断が分かれると思われます。

(i) そのサービスには日本語バージョンしかないこと、または、何らかの技術的手段により日本居住者しかユーザ登録できないこと等の事情により「EU域外[日本国内]の個人にのみ」提供されると言い得る場合：GDPR非適用

(ii) そのサービスでは英語バージョンもあり、かつ、欧州居住者も容易にユーザ登録できる場合：GDPR適用

page top

Q3: 「EU域内の個人も意図的にターゲットにしている」の判断基準が良く分かりません。より簡単・機械的に判断できる基準はありますか？

A3: 簡単・機械的に判断できる基準はありません。ガイドラインでは更に以下のような説明や例が挙げられていますが、結局、物品・サービスの提供またはモニタリングとの関連で個別のケースの具体的事情から判断するしかありません。

（ガイドラインの要旨続き）

単に、EU域内にいるデータ主体の個人データを処理しているだけでは第3条第2項に該当しない。更に、EU域内にいるデータ主体に対する（to such data subjects）物品・サービスの提供、または、EU域内における（as far as their behaviour takes place within the Union）データ主体の行動のモニタリングという要件から次のいずれかを満たされなければ第3条第2項に該当しない。

・EU市場向け(directed at the EU market)であること。

・EU域内にいる個人をターゲットとしていること。

【例10】　米国民が欧州旅行中に、米国企業が提供する米国市場限定のアプリをダウンロードし利用する場合（アプリ利用料の支払いに米国ドルのみ使用可能なため米国内市場限定であることが明らか）：

この場合、米国企業がアプリを通じ欧州旅行中に米国民の個人データを取得することは第3条第2項に該当せず、GDPRが適用されることはない。

【EU居住者の個人データの処理が第三国で行われている場合】

その処理が、(i) EU域内にいるデータ主体に対する物品・サービスの提供または (ii) EU域内におけるデータ主体の行動のモニタリングに関連した処理である場合、すなわち、「EU市場向けであるかまたはEU域内にいる個人をターゲティングしている」という要件が満たされる場合を除き、GDPRの適用を受けることはない。

【例11】　台湾に所在しかつ台湾内でのみ事業を行っている台湾の銀行が、台湾居住のドイツ人にサービスを提供する場合：

銀行によるドイツ人顧客の個人データの処理は、「EU市場向け」ではないから、これにGDPRが適応されることはない。

[従って、日本企業が日本在住のEU加盟国民の個人データを処理してもGDPRの適用はないことになります]

【例12】　カナダの出入国管理局が、EU市民のカナダ入国時に、ビザ確認のため個人データを処理する場合：

この処理は「(i) EU域内にいるデータ主体に対する物品・サービスの提供または (ii) EU域内におけるデータ主体の行動のモニタリング」いずれにも関連していないから]GDPRが適用されることはない。

【例13】　EU域内に拠点のない米国の企業が、フランス・ベルギー・オランダ[EU域内]に一時出張した従業員の個人データを、宿泊費・日当支払等の人事管理目的で処理：

この場合、その処理は、一時的にEU域内にいた個人(従業員)に関連したものではあるが、その企業の雇用主としての義務履行のために行われるものであって、その個人への「サービスの提供」に関連する処理ではない。従って、当該処理は第3条第2項(a)に該当せずGDPRは適用されない。

今回はここまでです。次回以降も引き続き「地理的適用範囲ガイドライン」の概要を解説していきます。GDPRの中でも非常に重要ではあるものの非常に分かりにくい部分です。しばらく、我慢をお付き合いを願い致します。

page top

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

NEW!! 「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

NEW!! 「カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」『国際商事法務』 2020年8月号

NEW!! 「プライバシーシールド（米国への十分性認定）無効判決の概要と影響～ EU司法裁判所Schrems II事件判決～」企業法務ナビ, 2020/07/31

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[2]

【注】

[1] 【3条2項「EU域内で設立されていない管理者または処理者」との訳】　3条2項の原文の"a controller or processor not established in the Union"を「EU域内に拠点のない管理者又は処理者」と訳す例（PPC訳）や解釈もある。これは3条1項がEU域内に拠点がある管理者または処理者に関する規定であるのに対し、3条2項はEU域内に拠点がない管理者または処理者に関する規定であるとの理解に基づくものと思われる。しかし、このような訳や解釈は第1に原文の"not established in the Union"と異なるし、第2に次のような例を考えると不合理と思われる。

（例）EU域外の管理者Xが、Xの事業であるオンラインサービスとは無関係の異業種の事業を営む子会社Y（「地理的適用範囲ガイドライン」によれば子会社も「拠点」に該当し得る）をEU域内に有し、XがEU域外からEU域内のユーザ（データ主体）に対しこのオンラインサービスを提供しかつそれに伴うユーザの個人データの処理も自ら行う場合を想定する。この場合、このデータ処理はXのEU域内の拠点であるYの業務に関して（in the context of the activities of an establishment）行われているとは言えない。従って、この処理に3条1項の適用はない。一方、3条2項は「EU域内に拠点のない管理者又は処理者」による処理にのみ適用されると解釈すれば、XはEU域内の拠点Yを有しているのであるから3条2項によってもGDPRの適用はない。

しかし、この結論は不合理である。従って、3条2項は、「EU域内に拠点のない管理者又は処理者」についての規定ではなく、原文の"a controller or processor not established in the Union"の通り、「EU域内で設立されていない」管理者等、すなわち、その設立準拠法のある地や本社等がEU域内にはない管理者等についての規定と解すべきものと思われる。このように解釈すれば、3条2項(a)により、Xに対しGDPRが直接適用（域外適用）される。

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録