18 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回から「地理的適用範囲ガイドライン」の概要を解説していきます。

【目　　次】

Q1: 「地理的適用範囲ガイドライン」とは？

Q2: GDPR第3条第1項に定めるEU域内の「拠点」とは?

Q3: EU域内の「拠点」に関するガイドラインの内容は?

Q4: EU域内の「拠点」に関する判断の具体例を示して下さい。

Q5: EU域内の拠点の活動に「関して」(in the context of )行われる個人データの処理とは?

Q6: EU域内の拠点の活動に「関して」についての判断の具体例を示して下さい。

Q7: 「処理がEU域内で行われるか否かを問わず」とは?

Q1: 「地理的適用範囲ガイドライン」とは？

A1: GDPR第3条（GDPRの地理的適用範囲）に関し、GDPRの執行を担うEU加盟国の監督機関の連合体である欧州データ保護会議（The European Data Protection Board）（EDPB)（WP29の後継組織）が2020年1月7日に公表したガイドラインです。

正式名称は"Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - Version 2.1”（最終版）です。

（参考）日本の個人情報保護委員会(「PPC」)による英文併記の和訳（以下「PPC訳」という）

page top

Q2: GDPR第3条第1項に定めるEU域内の「拠点」とは?

A2: GDPR前文22によれば、「拠点」（establishment）[の活動]とは、安定的な仕組み（stable arrangements）により行われる実際かつ現実の活動（effective and real exercise of activity）を意味し、支店、子企業その他法的形態を問わないとされています。従って、本社・本店は勿論、支社、駐在員事務所等も含まれることになります。[「実際かつ現実の」とは単なる法的・契約的な仕組みではなく物理的にEU域内に何らかの施設・人がある(いる)こと等を意味すると思われる]（[ ]は筆者の補足。以下同じ）

【解　説】

GDPR第3条第1項は、「その処理がEU域内で行われるか否かを問わず、管理者または処理者のEU域内の拠点（an establishment）の活動（the activities）に関して（in the context of）行われる個人データの処理に適用される」と定めています。

従って、GDPR第3条第1項により、ある個人データの処理にGDPRが適用されるかを判断するには先ずこの「EU域内の拠点」（establishment）とは如何なる意味かを確定しなければなりません。

page top

Q3: EU域内の「拠点」に関するガイドラインの内容は?

A3: 以下の通りです。（ガイドラインの記載は分かりにくいので筆者が理解した内容を適宜補足等した上その要旨を記します。以下同じ）

EU域外に本拠地がある企業がEU域内に拠点を有していると言えるか否かは、[当該企業がEU域内に有する]「仕組み」（arrangements）の安定性とその仕組みを通じ行われるEU域内での実際の活動を検討した上で判断しなければならない。

管理者の事業の中心がオンラインサービスの場合従業員1名または代理人1名のみであっても「安定的な仕組み」[と認定されEU域内の拠点]に該当する可能性がある。[「安定的」とは一時的ではなく継続的に活動する、との意味と思われる]

一方、EU域内からEU域外の企業のWebサイトを閲覧できるだけでは、その企業がEU域内に「拠点」を有していることにはならない。

page top

Q4: EU域内の「拠点」に関する判断の具体例を示して下さい。

A4: 以下にガイドラインに示されている例を示します。（「例１」の「１」はガイドラインの番号。以下同じ）

【例１】　米国本社の自動車メーカーが、マーケティング、広告等を含め、ブリュッセルに欧州内での全活動を統括管理する支店を有している場合：

このブリュッセル支店は、米国メーカーの事業活動にとり「実際かつ現実の活動を行っている安定的な仕組み」に該当し、GDPR上、米国メーカーのEU域内の「拠点」であると言える。

page top

Q5: EU域内の拠点の活動に「関して」(in the context of)行われる個人データの処理とは?

A5: 以下はガイドラインに記載されていることの要旨です。

個人データの処理がEU域内の拠点「により」(by)行われる必要はない。

EU域外で設立されている(established)[その設立準拠法のある地や本社等がEU域内にはないという意味と解される（その理由は前回注3参照）]企業（管理者または処理者）がEU域内のデータ主体の個人データを処理している場合、当該管理者または処理者による個人データ処理とEU域内の拠点の活動との間に「切り離せない程の結び付きがある」（inextricably linked）^[1]ときは、EU域内の拠点が当該処理に何らの役割も果たしていなくても、当該処理はEU域内の拠点の活動に「関して」行われている（従ってGDPRの適用を受ける）と言える。

EU域外の管理者または処理者による個人データの処理は、EU域内の拠点による収益活動(Revenue-raising)と「切り離せない程の結び付きがある」場合、「EU域内の拠点の活動に関し」行われていると認定される（従ってGDPRの適用を受ける）可能性が高い。

page top

Q6: EU域内の拠点の活動に「関して」についての判断の具体例を示して下さい。

A6: 以下にガイドラインに示されている例を示します。

（3条1項に該当する例）

【例２】　中国本拠の企業の通販サイトが、EU市場向けマーケティングのため欧州事務所を置いている場合（個人データの処理は全て中国国内で行っている）：

欧州事務所によるマーケティングが、この中国本拠の企業の通販サイトが収益を上げることに役立っている場合、中国国内で行われている個人データの処理は、ベルリン事務所の活動と切り離せない程結び付いている（inextricably linked）と言える。

従って、中国企業による中国国内での個人データの処理は、「管理者（中国企業）のEU域内の拠点（ベルリン事務所）の活動に関して行われる個人データの処理」であるから第3条第1項によりGDPRの直接適用を受ける。

[従来、GDPRの域外適用は3条2項を中心に議論されていましたが、上記例のような場合、日本企業を含めEU域外の企業も3条1項（または3条1項と同2項の重複適用）によりGDPRの域外適用を受け得ることになります]

（3条1項に該当しない例）

【例３】　EU域内に拠点を有しない南アフリカのホテル・リゾート企業が、Webサイト（英・独・仏・スペイン語で表示）を通じパッケージ商品を販売している場合：

EU域内に拠点を有していない以上第3条第1項には該当しない。但し、第3条第2項(a)に該当し、結局GDPRの直接適用を受ける。

page top

Q7: 「処理がEU域内で行われるか否かを問わず」とは?

A7: 以下にガイドラインに示されている例を示します。

【例４】　仏企業がモロッコ、アルジェリアおよびチュニジアでのみ利用できるカーシェアリング・サービスを行っている場合（個人データの処理も全てこの仏企業が行っている）：

個人データの取得はモロッコ等EU域外で行われているが、取得後の処理は、仏企業（EU域内の拠点）が自己の活動に関して行われている。従って、この処理は、EU域外のデータ主体の個人データの処理であるが、「管理者（仏企業）のEU域内の拠点（同企業の仏国内事業所）の活動に関して行われる個人データの処理」であり、第3条第1項に該当する。

【例５】　ストックホルムに本社がある製薬メーカーが、治験データに関する個人データの処理をシンガポール支店に行わせている場合（この処理の目的および方法は本社が決定）：

これは、スウェーデン企業(EU域内の拠点)が自己の活動に関し行う個人データの処理であり実際の処理がシンガポールで行われていても第3条第1項に該当しGDPRが適用される。

上記の通り、第3条第1項は、処理が実際に行われる場所およびデータ主体の居住地・国籍を問わず適用されます。

今回はここまでです。次回以降も引き続き「地理的適用範囲ガイドライン」の概要を解説していきます。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

NEW!! 「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

NEW!! 「プライバシーシールド（米国への十分性認定）無効判決の概要と影響～ EU司法裁判所Schrems II事件判決～」企業法務ナビ, 2020/07/31

NEW!! 「カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」『国際商事法務』 2020年8月号

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[2]

【注】

[1] 【「切り離せない程の結び付きがある」との訳】 この"inextricably linked"が「密接に」結び付いていると訳されている例が多い。しかし、単に「密接に」という意味であれば、より一般的な言葉である”closely”があるのにあえて"inextricably"という言葉が使われている。また、「密接な」との訳では、その密接性の程度が問題となり、結局、"in the context of the activities"（「に関して」）（これを「～の活動との文脈において」とする訳例がある）を説明したことにならない。ガイドライン全体を読めば、この"inextricably linked"とは、その訳語の一つである「切り離せない程に」と訳すことが適切と思われる。

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録