18 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回から何回かに分けてGDPRの域外適用を含むGDPRの地理的適用範囲について解説します。^[1]

Q1：GDPRの地理的適用範囲とは?

A1: GDPR第3条（地理的適用範囲）(Territorial scope)に定める、GDPRが適用されるEU域内またはEU域外での個人データの処理の範囲を意味します。

【解　説】

GDPR第3条では、以下の通り規定され、EU域内またはEU域外の事業者（管理者・処理者）による個人データの処理に対し、地理的にどの範囲までGDPRが適用されるかを定めています。

【第3条第1項】

「GDPRは、管理者または処理者のEU域内の拠点^[2](establishment）の業務に関して（in the context of the activities）行われる個人データの処理に対し、その処理がEU域内で行われるか否かかを問わず、適用される。」

（例）日本企業の欧州子会社（「管理者」）が、そのフランスの事業所（「EU域内の拠点」）における事業（「業務」）に関して、顧客（または見込み客）であるEU域内の居住者（「データ主体」）の氏名、電子メールアドレス等（「個人データ」）を取得・利用（「処理」）する場合。

【第3条第2項】

「GDPRは、EU域内で設立されていない（not established in the Union）^[3]管理者または処理者による、EU域内にいるデータ主体の個人データの処理が次のいずれかに関連する場合、当該処理に対し適用される。

(a) EU域内のデータ主体に対する物品またはサービスの提供

(b) EU域内におけるデータ主体の行動の監視(monitoring)　」

（上記(a)の例）日本企業（「EU域内で設立されていない管理者または処理者」）が、EU域内の個人向けに日本国内の旅行商品を販売（「EU域内のデータ主体に対する物品またはサービスの提供」）しその顧客（「EU域内にいるデータ主体」）の氏名、電子メールアドレス、クレジットカードデータ等（「個人データ」）を取得・利用（「処理」）する場合。

（上記(b)の例）日本企業の欧州子会社からの委託に基づき、日本企業（「EU域内で設立されていない管理者または処理者」）が、直接日本国内から、同子会社のドイツにある小売店舗に入店した顧客の店内動線（「（「EU域内にいるデータ主体の行動」）データを、Wi-Fi、店舗監視カメラ等により収集（「監視」）・分析し同子会社に提供（「処理」）する場合。

Q2： GDPRの地理的適用範囲の日本企業にとっての意味は?

A1: GDPR第3条の地理的適用範囲は、日本にある企業にとっては、自社がEUとの関連で行っている個人データの処理にGDPRが直接自社に適用（域外適用）されるかどうかという問題になります。

Q3：欧州子会社から日本親会社への個人データ移転に対する規制（域外移転規制）との関係は?

A3: GDPR第3条の地理的適用範囲の場合、GDPRの直接適用を受けるかどうかが問題となるのは日本にある企業です。一方、個人データの域外移転規制 (GDPR 44～50）は、日本にある企業にとっては、EU域内にある子会社等から自社への個人データの移転がGDPR上どのように規制されるかという問題です。この場合GDPRの適用を直接受けているのは日本にある企業ではなくEU域内にある子会社等です。

このように両者は、異なる問題ですが、日本にある企業にとっては、いずれも、自社がGDPRの影響を受けるという点で共通します。

【地理的適用範囲と域外移転規制の両方が関係する場合】

仮に、例えば、日本において全世界向けにゲームサイト事業を運営する日本企業が、その事業についてEU向けの営業活動を行っているEU域内子会社からEU域内ユーザの個人データの移転を受け、その個人データをEU域内ユーザに対するゲーム配信に関連し処理する場合を想定します。

この場合、最初の移転は域外移転規制の問題ですが、その後の日本企業による処理は第3条によるGDPRの直接適用（域外適用）の問題であり、両方の問題が密接に関係する場合もあります。

Q4：地理的適用範囲の解釈基準は?

A4: 上記の通り、GDPR第3条の地理的適用範囲は、外国企業にとっては、自社がEUとの関連で行っている個人データの処理にGDPRが直接自社に適用（域外適用）されるかどうかという極めて重大な問題であり、その解釈に関してはいくつもの論点があります。そこで、EU各加盟国の監督機関の連合体である「欧州データ保護会議」（The European Data Protection Board）（「EDPB」)は、第3条の解釈に関し、そのガイドライン案を2018年11月23日に公表しパブリックコメントに付し、最終案を2020年1月7日付けで"Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)"（本Q&Aにおいて「地理的適用範囲ガイドライン」という）として公表しました（日本の個人情報保護委員会の訳はこちら）。

【解　説】

この「地理的適用範囲ガイドライン」では以下のような事項に関しEDPBとしての解釈を示しています。

(1). 拠点基準 (第3条第1項）

a) EU域内の「拠点」

b) EU域内の拠点の業務に「関して」行われる個人データの処理

c) 「処理がEU域内で行われるか否かを問わず」

d) 管理者が個人データの処理を第三者（処理者）に委託する場合

(2). ターゲティング基準　（第3条第2項）

a) 「EU域内にいるデータ主体」

b) 「EU域内にいるデータ主体に対する物品・サービスの提供」（に関連した個人データの処理）

c) 「EU域内にいるデータ主体のEU域内における行動の監視」（に関連した個人データの処理）

「地理的適用範囲ガイドライン」は、GDPRの最終解釈権限を有する欧州連合司法裁判所（CJEU）の解釈ではありません。しかし、監督機関の連合体であるEDPBがパブリックコメントの結果も踏まえたガイドラインであり、信頼性は高いと言えます。

今回はここまでです。次回以降は、「地理的適用範囲ガイドライン」の概要を解説していきます。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ > 法務ニュース, 2020/03/27

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[4]

【注】

^[1] 【本稿の主な参考資料】　浅井敏雄「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　II-B

[2] 【3条1項「管理者または処理者のEU域内の拠点」との訳】　原文が"an establishment of a controller or a processor in the Union"であるから「EU域内の管理者または処理者の拠点」との訳（例：個人情報保護委員会(PPC)のGDPR訳第3条第1項）もある。しかし、後述の地理的適用範囲ガイドラインに記載の通り、EU域内になければならないのは「拠点」であり、管理者または処理者はEU域外にあってもよい。上記の訳例では「EU域内」は「管理者または処理者」にかかるかのような誤解を生じさせるおそれがある。そこで、本稿では本文のように訳している。

[3] 【3条2項「EU域内で設立されていない管理者または処理者」との訳】　3条2項の原文の"a controller or processor not established in the Union"を「EU域内に拠点のない管理者又は処理者」と訳す例（PPC訳）や解釈もある。これは3条1項がEU域内に拠点がある管理者または処理者に関する規定であるのに対し、3条2項はEU域内に拠点がない管理者または処理者に関する規定であるとの理解に基づくものと思われる。しかし、このような訳や解釈は第1に原文の"not established in the Union"と異なるし、第2に次のような例を考えると不合理と思われる。

（例）EU域外の管理者Xが、Xの事業であるオンラインサービスとは無関係の異業種の事業を営む子会社Y（「地理的適用範囲ガイドライン」によれば子会社も「拠点」に該当し得る）をEU域内に有し、XがEU域外からEU域内のユーザ（データ主体）に対しこのオンラインサービスを提供しかつそれに伴うユーザの個人データの処理も自ら行う場合を想定する。この場合、このデータ処理はXのEU域内の拠点であるYの業務に関して（in the context of the activities of an establishment）行われているとは言えない。従って、この処理に3条1項の適用はない。一方、3条2項は「EU域内に拠点のない管理者又は処理者」による処理にのみ適用されると解釈すれば、XはEU域内の拠点Yを有しているのであるから3条2項によってもGDPRの適用はない。

しかし、この結論は不合理である。従って、3条2項は、「EU域内に拠点のない管理者又は処理者」についての規定ではなく、原文の"a controller or processor not established in the Union"の通り、「EU域内で設立されていない」管理者等、すなわち、その設立準拠法のある地や本社等がEU域内にはない管理者等についての規定と解すべきものと思われる。このように解釈すれば、3条2項(a)により、Xに対しGDPRが直接適用（域外適用）される。

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録