15 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回は個人データの「処理」と、GDPR上の義務（被規制）主体である「管理者」および「処理者」について解説します。^[1]

Q1：個人データの「処理」とは何ですか？

A1: GDPR上、「処理」(processing)とは個人データについて行われるあらゆる取扱い（any operation）を意味します（4(2)）。また、コンピュータ等を使い自動的手段(automated means)で行われるか否かを問いません。

【解　説】

GDPR上「処理」の例としては以下の行為が挙げられています。

- 取得／記録／組織化（organisation）／構造化（structuring）／保存／改変／回復・検索(retrieval)／参照(consultation)／利用／送信(transmission）による開示・拡散(dissemination)その他利用可能にすること（otherwise making available）／整列（alignment)・結合／制限／消去／破壊。

「処理」は、個人データについて行われるあらゆる取扱い（any operation）を意味するので、上記は例示（"such as"）であって、例えば、個人データのEU域外への移転（transfer）も当然に「処理」の一種となります。

【日本の個人情報保護法との比較】　GDPR上の「処理」は、日本の個人情報保護法上の「取扱い」にほぼ相当します。但し、日本の個人情報保護法上の「取扱い」については定義がなく、例えば、Googleのサーチエンジンによる検索が個人情報の「取扱い」に当たるのかは判然としません。この点、EUでは、データ保護指令の時から個人データの処理の定義は変わっておらず、データ保護指令時代の2014年にEU司法裁判所(CJEU)が、Google検索に関する先決裁定で、以下のようにGoogle検索はGoogle（＝管理者）による個人データの「処理」であると判断をしています。

（CJEU先決裁定要旨） Google検索はインターネット上の情報を発見し、それに索引を付け、一時的に保存し、最終的にユーザに提供するもので、データ保護指令上「処理」(2(b))に該当する。そのような検索エンジンの運営者である米Googleは保護指令上「管理者」(2(d))に該当する。従って、米Googleは、保護指令上の消去請求権の要件が満たされる限り、Mario（元々の原告）の氏名を入力した検索結果から該当のWebページへのリンクの消去に応じる義務がある。

Q2：「管理者」とは誰ですか？

A2: GDPR上、「管理者」(controller)とは、単独でまたは他と共同して(*1)、個人データの処理の目的および手段(means)を決定する者(*2)(個人（自然人）、法人、公的機関、行政機関またはその他の団体（natural or legal person, public authority, agency or other body）)を意味します（4(7)）。

【解　説】

GDPRは、個人データを処理する者を「管理者」（controller）と「処理者」（processor）とに区分し、それぞれの義務を定めています。

GDPR上のほとんどの義務は「管理者」の義務であり、「処理者」は、原則として「管理者」のために行う処理に関連した義務を負います。

GDPR上の「管理者」および「処理者」の定義は、それらの者がEU域内またはEU域外のいずれにあるかを問わない定義で、例えば、EU域外にある「管理者」もGDPRの域外適用を受ける可能性があります。

(*1)【「他と共同して」】　個人データの処理の目的および手段(means)を他の者と共同して決定する場合は、相互に「共同管理者」(joint controller)」と呼ばれ、GDPR上の義務を履行するため相互間の責任を取決め（arrangement）により定める義務を負います(26)。

(*2)【「個人 .... その他の団体」】　「管理者」には公的機関（public authority）[2]も含まれ、GDPRは、原則として、加盟国政府、加盟国の行政機関、その他公的機関にも民間と同等に適用されます。これは、本Q&A第2回のA1で解説した歴史的経緯(ナチス等による個人情報の悪用）からすれば当然のことと思われます。

但し、以下の例外があります。

① EU （という国家間組織）については、その機関、組織、事務局および部局（the Union institutions, bodies, offices and agencies）による個人データの処理に関しては、「EU機関データ保護規則」が適用される。

② 加盟国の警察等による法執行目的の個人データの処理については「法執行当局データ保護指令」(LEDP指令）に基づく加盟国国内法が適用される。[3]

Q3: 「処理者」とは誰ですか?

A3: GDPR上、「処理者」（processor）とは、管理者のためまたは管理者に代わって(on behalf of) 個人データを処理する者（個人（自然人）、法人、公的機関、行政機関またはその他の団体）（例：データ処理業者）を意味します（4(8)）。

ほぼ、日本の個人情報保護法第22条の、個人情報取扱事業者が「個人データの取扱いの全部又は一部を委託する」その相手方（委託先）に対応すると考えていいでしょう。

【解　説】

日本の個人情報保護法上は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」(22)との抽象的規定しかありませんが、GDPR上は、管理者が処理者に処理を委託する場合の条件が詳細に規定されています(28)。具体的には、委託先が十分なセキュリティーを保証できる者であること／再委託の制限／委託契約の内容／欧州委員会およびEU加盟国の監督機関は委託契約の標準契約条項を定めることができること等です。

更に、処理者は、この処理委託に伴う義務の他、独自に次のように様々な義務を負います。

(a) EU域内における代理人の指名：処理者は、EU域内で設立されていない(本社等がない）場合でも、処理者による個人データの処理がGDPRの域外適用(3(2))を受ける場合には、EU域内において処理者のGDPR上の義務に関し処理者を代理する者(representative)を指定しなければならない(27,4(17))。

(b) 処理の記録： 処理者（およびそのEU域内代理人）は、管理者に代わり行う個人データの処理について所定の事項に関し記録を書面(電子的形態を含む)で作成しこれを維持しなければならない(30(2),(3))。処理者（およびそのEU域内代理人）は、監督機関の要求に応じ記録を提出しなければならない(30(4))。

(c) 監督機関への協力義務： 処理者（およびそのEU域内代理人）は、監督機関の職務遂行に関し、その要求に応じ、協力しなければならない(31)。

(d) 個人データのセキュリティーに関する義務: 管理者だけでなく、処理者も、リスクに応じ、技術水準等を考慮し、適切な技術的・組織的措置を講じなければならない(32(1),(2))。

(e) 個人データ侵害通知義務: 処理者は、個人データ侵害（漏えい等）の認識後、不当に遅滞することなく管理者にその内容を通知しなければならない(33(2))。

(f) DPO選任義務: 管理者だけでなく、処理者も、所定の場合、データ保護監督者 (data protection officer：DPO) を選任しなければならない(37(1))。また、DPOを選任した場合は、その連絡先の公表・監督機関への通知(37(7))およびDPOの地位・権限等に関する所定の義務を履行しなければならない(38(1)～(5))

(g) 域外移転に関する義務：処理者は、個人データのEU域外への移転に関し、GDPR(第5章)に定める域外移転規制（所定の標準契約条項の締結等）を遵守しなければならない。

(h) GDPR違反に関する責任：管理者だけでなく、処理者も、自身のGDPR違反に関し、GDPR違反に対する損害賠償責任(82)、行政制裁金(83)および行政制裁金以外の加盟国による制裁(84)の規定に基づく責任を負う。

Q4: 処理者も管理者の立場になることやその逆もありますか?

A4: あります。GDPR上の「管理者」および「処理者」の概念は以下のように相対的なものです。

【解　説】

例えば、ある個人データの処理については他社（管理者）の委託を受け個人データを処理するので「処理者」に該当する者であっても、例えば、自社の従業員の個人データの処理については「管理者」となります。

また、自ら一般消費者を相手とした事業を行っているため、この消費者の個人データの処理については「管理者」に該当する者が、例えば、他社を顧客としてクラウド・サービスを提供する場合、そのクラウド・サーバで保存・処理する他社保有の個人データの処理については「処理者」となります。

また、管理者の定義の「個人データの処理の目的および方法を決定する」に関し、データ保護指令に関するものですが、WP29（同指令時代の各国監督機関の連合体）は、管理者と処理者の概念（同指令とGDPRにおけるそれらの定義は基本的に同じ）に関する意見書[4]を公表しています。

この意見書によれば、管理者の定義の上記要件に関し、処理の「目的」を決定する者は常に管理者に該当するが、処理の「手段」(処理の技術的方法に限らない）についてはその本質的要素（essential elements of the means）（例：処理対象データ・処理期間・データにアクセス可能な者等）を決定する場合に管理者に該当するとされています(III, 1(b))。

従って、GDPRの定義(4(7))上、管理者とは個人データの処理の「目的および手段（the purposes and means）」を決定する者とされていますが、解釈上は、手段については最低限本質的要素を決定すればよいとされていることになります。

すなわち、一見処理の全部を第三者に任せているように見える場合でも、少なくとも、何のためにその第三者に個人データの処理を委託するか（＝処理の目的）と委託対象データ・委託期間等（＝処理の手段）を決めているときは、なお「管理者」として「処理者」よりも重い義務を負うことになります。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第12回はここまでです。

次回からは、GDPRの域外適用を含むGDPRの地理的適用範囲について解説します。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

『注解付きCalifornia Consumer Privacy Act of 2018「カリフォルニア州消費者プライバシー法（CCPA）」私訳』　‘20/4/1

『「カリフォルニア州消費者プライバシー法（CCPA）規則」(案)（2020年3月11日公表第3次案)私訳』　‘20/4/1

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ > 法務ニュース, 2020/03/27

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[5]

【注】

^[1] 【本稿の主な参考資料】　浅井敏雄「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　II-A-3～5

[2] 【GDPR上の「公的機関」の定義】　GDPR上、「公的機関」（public authority）の定義はなく、その意味・定義は加盟国に委ねられている。例えば、後記参考資料によれば、Belgian Act of 30 July 2018 on processing of personal data（ベルギーデータ保護法）では、「公的機関」を（i）「公共調達に関する2016年6月17日ベルギー法」の対象となる組織（entities）および（ii）公法（public law）の適用を受けかつ州(state)の管轄下にある法人と定義している。従って、この定義に該当する限り、病院、大学等も含まれる。（参考資料）Stibbe "GDPR and Public Law: Applicability of GDPR to public bodies" 21.05.2019

[3] (参考）【公的機関に対するGDPR上の特別な規定】　(a). 処理が公的機関・団体（public authority or body）（但し裁判所を除く）により行われる場合には処理の内容如何にかかわらず、データ保護監督者(DPO）選任義務が生じる(37(1))。 (b). 公的機関がその任務遂行のため個人データの処理を行う場合には、その適法性の根拠として「正当利益」(6(1)(f))に依拠することはできず(6(1)第二文）、EUまたは加盟国国内法に定める公的任務遂行の必要性(6(1)(e), 6(3)）等によらなければならない。 (c). 公的機関（public authorities）を行政制裁金(83)の対象とすべきか否かおよび対象とする場合の範囲は、加盟国が決定しなければならない（前文150）。

[4] 【WP29管理者と処理者の概念に関する意見書】 Opinion 1/2010 on the concepts of "controller" and "processor" Adopted on 16 February 2010　- I.1.a)

[5]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録