15 コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

今回は, GDPR第27条(域内代理人指定義務)および第30条（処理の記録義務）について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 域内代理人指定義務とは？

A1: EU域内で設立されていない管理者または処理者は、GDPR第3条第2項によりGDPRの適用（域外適用）を受ける場合にはEU域内における代理人（representative）を指定（designate）しなければならない(27)という義務を意味します。

【解　説】

GDPRは、EU域内で設立されていない管理者または処理者による、EU域内にいるデータ主体の個人データの処理が次のいずれかに関連する場合、当該処理に対し適用（域外適用）されます(3(2))（第15回Q1参照）。

(a)EU域内のデータ主体に対する商品またはサービスの提供

(b)EU域内におけるデータ主体の行動の監視

上記いずれかの場合、管理者または処理者（以下「管理者等」）は、EU域内の者（個人または法人）をGDPR上の管理者等の義務に関して管理者等を代理する者(representative)として指名しなければなりません(27(1), 4(17))。なお、この代理人は、商品・サービス提供に関連してその個人データが処理されるデータ主体、または、その行動が監視されるデータ主体のいる加盟国のいずれか一つに置かれなければなりません(27(3))。

（代理人指名が不要な場合）但し、管理者等による処理が、以下の全てを満たす場合、または、管理者等が公的機関・組織である場合は、この代理人の指名は不要です(27(2))。

(a)処理が偶発的（occasional）であること。

(b)特別カテゴリーの個人データの処理または有罪判決・犯罪に関する個人データの処理を大規模には含まないこと。

(c)個人の権利等に対するリスクが低い(unlikely)こと。

代理人は、処理に関する全ての問題について、管理者等とともにまたはこれに代わり、監督機関、データ主体等への対応窓口にならなければならない(27(4))とされています。

但し、このことは、[データ主体、監督機関等が]管理者等に対し直接法的手続をとる妨げとはなりません(27(5)。

page top

Q2: 域内代理人に関連する他の規定・指針は？

A2: 以下のような規定・指針があります。

【GDPR上の規定】

(a)管理者は、個人データ取得の際にデータ主体に情報提供すべき項目の一つとして、代理人の身元および代理人への連絡方法に関する情報も提供しなければならない（13(1)(a), 14(1)(a)）。

(b)管理者等の他、その代理人は、個人データの処理に関する所定事項についての記録を書面(電子的形態を含む)で作成維持しなければならない。また、管理者等の他、その代理人は、監督機関の要求に応じ、監督機関がこの記録を閲覧・入手できるように（make the record available)しなければならない（以上30(1), (2), (3))（Q3参照）。

(c)管理者等の他、その代理人は、監督機関の職務遂行に関し、その要求に応じ協力し、また、監督機関からの情報提供命令に応じなければならない(31, 58(1)(a))。

(d)代理人指定（27）違反は、1千万ユーロまたは「一事業体」の場合前会計年度の全世界年間売上高の2%、いずれか高い金額を限度とする制裁金の対象となり得る(83(4))。

【EDPB代理人指針】

以下においては、欧州データ保護会議（The European Data Protection Board）（EDPB)（WP29の後継組織）の2020年1月7日付け"Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)"（地理的適用範囲ガイドライン）（日本の個人情報保護委員会の訳はこちら）の4に記載されている「EU域内で設立されていない管理者・処理者の代理人」の項に記載されている内容の要旨概要を示す。

・実務上、代理人の職務範囲は業務委託契約書(service contract)により定められる。

・代理人には、法律事務所、コンサルティング業者その他法人・個人がなることができる。代理人は、複数の管理者等の代理人を兼ねることができる。法人が代理人となる場合、1名の責任者を任命し業務委託契約書に明記することが望ましい。

・代理人は管理者等の指示下で職務を行うのに対し、データ保護監督者（Data Protection Officer：DPO)は「その職務の遂行に関しいかなる指示も受けない」 (38(3), 前文97）。従って、代理人とDPOを兼任することはできない。

・代理人に関する情報は、管理者が個人データ取得の際に行うべきデータ主体に対する提供情報の一部としてPrivacy Notice/Policy等に記載しなければならない（13(1)(a), 14(1)(a))。

・代理人は、管理者等が処理する個人データのデータ主体の大部分がいる加盟国内に置くことが望ましい。但し、他の加盟国のデータ主体からもその代理人に容易に連絡できなければならない。【例25】　EU域内に拠点を有していないが、第3条第2項により GDPR の適用を受けるインド製薬企業が、その企業が資金提供して行われているベルギー・ルクセンブルグ・オランダの病院による治験の参加患者の個人データを処理している場合（患者の過半数はベルギーに居住）：データ主体である患者の過半数がいるベルギーに代理人を置くことが望ましい。但し、オランダとルクセンブルグにいるデータ主体および監督機関が代理人に容易に連絡できなければならない。

・代理人は、特に、データ主体の権利行使への対応、監督機関との協力を行わなければならない。

・管理者等は、その代理人が、個人データの処理に関する所定事項についての記録を書面(電子的形態を含む)で維持・利用できるよう、正確かつ最新な情報を代理人に提供しなければならない。

・代理人は、関係するデータ主体・監督機関の使う言語で連絡できるかまたはその他の方法でこれらの者と効果的に連絡できなければならない。

・代理人は、前記の記録維持義務(30)、監督機関の職務遂行への協力義務(31)および監督機関からの情報提供命令遵守義務(58)を自ら負うが、管理者等の責任を代わりに負うものではない。

page top

Q3: 記録（文書化）義務とは？

A3: 管理者等が、個人データの処理に関する所定事項について記録を作成維持し、かつ、要求に応じ、監督機関が当該記録を閲覧・入手できるようにしなければならない(30)義務を意味します。

【解　説】

１．記録（文書化）義務の趣旨

管理者および処理者は、その責任のもとで行われる個人データの処理についてGDPRを遵守していることを説明・立証(demonstrate)するため、当該処理について記録(record)を作成しこれを維持しなければならない。

管理者および処理者は、当該処理について監督機関が監督（monitoring）責任を果たせるよう、監督機関に協力し、かつ、その要求に応じ、これらの記録を監督機関が閲覧・入手(make available)できるようにしなければならない。（以上前文82)。

- GDPRの特徴の一つは、管理者等の徹底した説明・証明責任と記録（文書化）(record, documentation)義務です。記録義務も説明・証明責任を果たすための前提または手段と見ることができます。

２．管理者の記録（文書化）義務

管理者（および管理者のEU域内代理人(27)）は、個人データの処理について以下の事項に関し記録を書面(電子的形態を含む)で作成しこれを維持しなければならない(30(1),(3))。

【管理者の記録義務(30)の対象項目】

(a)管理者、ならびに、その共同管理者(26)、EU域内代理人およびデータ保護監督者（DPO）の名称・氏名および連絡方法（contact details）

(b)処理の目的

(c)データ主体と個人データのカテゴリー

(d)個人データが既に開示されたまたは今後開示される受領者(recipient) (第三国内のまたは国際機関である受領者を含む)のカテゴリー

(e)第三国または国際機関への個人データの移転がある場合はその域外移転の内容（第三国等の名称その他の特定情報を含む）（および第49条第1項第二文に定める[究極的]例外事由による移転の場合は当該移転に関し管理者が講じた適切な保護措置に関する記録）

(f)個人データのカテゴリーごとの予定消去期限（可能な限り：where possible）

(g)処理のセキュリティー措置(32)の概要（可能な限り：where possible）

３．処理者の記録義務

処理者（およびそのEU域内代理人）は、管理者に代わり行う個人データの処理について以下の事項に関し記録を書面(電子的形態を含む)で作成しこれを維持しなければならない(30(2),(3))。

【処理者の記録義務(30)の対象項目】

(a)処理者およびその管理者、ならびに、処理者およびその管理者の、EU域内代理人およびDPOの名称・氏名および連絡方法（contact details）

(b)処理者が管理者に代わりに行う処理のカテゴリー

(c)第三国または国際機関への個人データの移転がある場合はその域外移転の内容（第三国等の名称その他の特定情報を含む）（および第49条第1項第二文に定める[究極的]例外事由による移転の場合は当該移転に関し管理者が講じた適切な保護措置に関する記録）

(d)処理のセキュリティー措置(32)の概要（可能な限り：where possible）

４．監督機関への記録提出

管理者または処理者（および各自のEU域内代理人）は、監督機関の要求に応じ、監督機関がこれらの記録を閲覧・入手できるように（make the record available)しなければならない(30(4))。

５．記録義務の免除

以下の全ての条件を満たす者については上記の義務が免除される（30(5))。但し、要件が厳格なため実際に適用可能なケースは限定される。

(a)従業員が250 人未満の企業または組織であること。

(b)処理がデータ主体の権利自由に対するリスクを生じさせる可能性がないこと。

(c)処理が偶発的であること(occasional)。

(d)特別カテゴリーの個人データ(9)または有罪判決もしくは犯罪に関する個人データ(10)の処理を含まないこと。

page top

今回は以上です。

【筆者の最近の個人情報保護関連書籍】

NEW!!『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18

「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24

「中国データ・情報関連法」 2021/9/18

「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[1]

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録