GDPRとインバウンド
第1 GDPRとは
1 基本的な内容
昨今、世界各国で個人情報の保護が叫ばれ、GAFA(米IT巨人)に対する法規制の必要性などから、EUにおいて、GDPR(General Data Protection Regulation:一般データ保護規則)が制定されました。GDPRは、EU基本権憲章第8条で保障された自己に関係する個人情報の保護に対する基本的人権を保護することを目的としています。
GDPRとは、一言で言えば、「個人データ」の「処理」と「移転」に関する法です。
2 「個人データ」とは
「個人データ」とは、(EU域内に所在する)識別可能な個人(これをデータ主体といいます)に関するすべての情報をいいます。氏名、識別番号、位置データなどの複数の要素を参照することによって個人を識別できれば足り、短期出張や短期旅行でEU域内に所在する日本人の個人データもこれに含まれます。
3 「処理」とは
「処理」とは、クレジットカード情報の保存などをいいます。
処理にはデータ主体の同意その他様々な要件を満たす必要があります。
また、データ主体の各種権利(アクセス権、訂正権、削除権(これを忘れられる権利といいます)など)を尊重する必要があります。
個人データには適切なセキュリティ措置を講じなければなりません。また、個人データの流出等が発生した場合、その流出等に気づいた時から遅くとも72 時間以内に、監督機関に対し、その個人データの流出等を通知しなければなりません。
4 「移転」とは
「移転」とは、EU域内の個人データをEU域外の第三国に送付することです。日本は、十分なデータ保護の水準を確保していると欧州委員会が決定した(十分性認定を受けた)ため、移転にはさらなる法的措置の必要はありません。
3 施行時期
GDPRは、2016年5月24日に発効しましたが、行政罰を伴う適用開始は、2018年 5 月25日と定められており、これが実質的な「施行日」となります。
行政罰(GDPR違反に対する制裁金)には次の2通りの類型があります。
① 1000万ユーロ(約12億5870万円)以下または事業の場合前会計年度における全世界売上総額の2%以下の金額のどちらか高い方(83条4項)
② 2000万ユーロ(約25億1740万円)以下または事業の場合前会計年度における全世界売上総額の4%以下の金額のどちらか高い方(83条5項)
GDPRは、日本の中小企業にも適用される可能性があり、日本の中小企業もGDPRの適用には注意しなければなりません。
第2 日本所在の企業にGDPRが適用されるか
1 例
① 日本のホテルがWebサイトを通じてパッケージ商品を販売しています。このウェブサイトには英語版、ドイツ語版、フランス語版、スペイン語版があり、支払いはユーロまたはポンドでできます。企業はEU域内に事業所や代理店、安定的な仕組みを何ら有していません。
② 日本国民が休日にヨーロッパを旅行しています。ヨーロッパ滞在中に、彼は日本企業が提供する新しいアプリをダウンロードし利用します。このアプリは日本市場のみに向けられています。
③ 日本にある銀行には日本に居住していますがドイツの市民権を有している顧客がいます。銀行は日本でのみ事業を行っており、その活動はEU市場に向けられていません。
2 拠点基準の適用―3条1項
⑴ 条文の内容
「本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。」
⑵ 要件の定義
ア 管理者―4条7項
個人データの取扱いの目的及び方法を決定する者
イ 処理者―4条8項
管理者の代わりに個人データを取扱う自然人若しくは法人等
ウ 拠点―前文22項
安定的な仕組みを通じて行われる実効的かつ現実の活動の実施
エ 活動の過程における
当該取扱いがEU域内の関連する拠点「によって」行われている必要はなく、関連する拠点の「活動の過程において」行われていれば足ります。EU域外のデータ管理者又は処理者とEU域内の拠点との関係やEU域内での収益の発生など具体的な事実を考慮した上で、当該組織の実体に基づいて評価します。
⑶ 検討
まず、①のホテル、②の企業及び③の銀行は、管理者及び処理者に当たります。
次に、拠点の概念は広いですが、無制限ではありません。単にEU域内からEU域外の企業のWebサイトにアクセス可能であることだけで、当該 EU 域外の企業がEU域内に拠点を有していると結論づけることはできません。よって、①のホテル、②の企業及び③の銀行はEU域内に拠点を有しないので、①②③に3条1項は適用されません。
3 標的基準の適用―3条2項
⑴ 条文の内容
「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は
(b) データ主体の行動がEU域内で行われるものである限り、その行動の監視。」
⑵ 要件の定義
ア EU域内のデータ主体
前文14項が「本規則によって与えられる保護は、その国籍及び居住地がいかなるものであれ、自然人の個人データの取扱いとの関係において、自然人に対して適用される。」と規定していること、EU基本権憲章8条1項が「何人も、自己に関係する個人情報の保護に対する権利を有する。」と規定していることから、「EU域内のデータ主体」には、短期旅行者や短期出張者を含むEU域内にいるすべての自然人をいいます。
EU域内の個人の個人データを取り扱っているという事実だけでは、EU 域内に拠点のない管理者又は処理者の取扱活動に対しGDPRを適用するのに十分ではありません。物品若しくはサービスを提供すること又は行動を監視することによりEU域内の個人を「ターゲットとしている」(“targeting”)という要素は常に上記と合わせて存在しなければなりません。
また、第三国でEU市民又はEU居住者の個人データの取扱いが行われていることは、かかる取扱いがEU域内の個人に向けられた特定の提供又はEU域内における個人の行動の監視に関連していない限り、GDPR の適用を受けることに繋がりません。
イ EU域内のデータ主体に対する物品又はサービスの提供
前文23項は、「EU域内のデータ主体に対してそのような管理者又は処理者が物品又はサービスを提供しているか否かを判断するために、EU域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。単に管理者、処理者又はその中間介在者のEU域内のWebサイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU 域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうるものである。」と規定しています。
⑶ 検討
まず、①のホテル、②の企業及び③の銀行は、EU域内に拠点がありませんので、3条2項適用の前提は満たしています。
また、①のホテルは、EU域内の個人をターゲットとし、かつEU域内の個人に向けて特定の提供を行っているため、当該個人は、「EU域内のデータ主体」に当たります。そして、①のホテルのウェブサイトには英語版、ドイツ語版、フランス語版、スペイン語版があり、支払いはユーロまたはポンドでできるため、①のホテルは、EU域内のデータ主体に対してサービスを提供しようとする意図が明白であるから、「EU域内のデータ主体に対する物品又はサービスの提供」に当たります。よって、①には3条2項が適用されます。①のホテルは、一時的なもでない場合や、個人の権利及び自由に対するリスクが生ずる可能性が低くない場合には、EU域内に代理人を指定しなければなりません。
もっとも、②の企業は、EU域内の個人をターゲットにしていないから、②の日本国民は「EU域内のデータ主体」に当たりません。また、②の企業は、EU域内のデータ主体に対してサービスを提供しようとする意図が明白ではないから、②のアプリのダウンロードは「EU域内のデータ主体に対する物品又はサービスの提供」に当たりません。
さらに、③の銀行は、EU域内の個人に向けて特定の提供を行っていないから、③の顧客は「EU域内のデータ主体」に当たりません(そもそも、③の顧客は日本にいるのであってEU域内にいません)。また、③の銀行は、EU域内のデータ主体に対してサービスを提供しようとする意図が明白ではないから、③の事業は「EU域内のデータ主体に対する物品又はサービスの提供」に当たりません。
よって、②③には3条2項が適用されません。
