【データ法】地域的適用範囲(域外適用) ーGDPR Art 3ー
こんにちは。
お読みいただきありがとうございます。
過去の【データ法】のエントリーでは、全部で4回にわたり、GDPRの適用に関する①客体、②行為、③主体、及び、④実体的適用範囲について議論してきました。
前回の実体適用範囲の議論はこちら。
そして、今回は、地域的適用範囲、いわゆる域外適用の話です。
あるビジネスに対するGDPR上の問題を検討する「前提の検討」シリーズは今回で最後です。
過去4回の議論は、実務上問題になることはあまりないのですが、それらとは打って変わって、今回の地域的適用範囲の話は、かなり重要です。
多くの人は、GDPRという海外の法令に対して、なぜ日本企業が戦々恐々としているのか、ピンと来ていないのではないでしょうか。
その理由を解き明かしていきたいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
GDPRはEUのみで適用される法令ではない
GDPRは、EUの立法機関が定立した規則です。
EU加盟国でない国の企業なり個人が、GDPRに縛られるのは、違和感があるかもしれません。
しかし、GDPRは次の事項を目的に含みます(*1, *2)。
・ 個人データの処理と関連する自然人の保護に関する規定及び個人データの自由な移動に関する規定を定めること
・ 自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護すること
つまり、自然人の個人データの保護の権利を擁護するために、個人データの処理についてのルールを定めるということです。そのため、GDPRは、その目的の達成に必要なのであれば、EU域外であってもこれを適用することを予定しています。
具体的には、どういう定めになっているのでしょうか。
GDPRの規定から地域的適用範囲を紐解く
第3条は、次のように定めています。
1. 本規則は、その処理がEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの処理に適用される。
2. 取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの処理に適用される。
(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供、又は
(b) データ主体の行動がEU域内で行われるものである限り、その行動の監視
3. 本規則は、EU域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの処理に適用される。
文章量の多さに「うっ、、」となりますよね。
一つずつ順番に見ていきたいと思います。
原則:EUに拠点のある組織であれば問答無用で適用
まずは、1項を見てください。
GDPRは、「EU域内の管理者又は処理者」の個人データの処理に適用されるとあります。
したがって、EUに拠点がある組織が個人データを処理する場合、それがどのような個人データの処理であれ、GDPRが適用されます。
これは、個人データが日本やアメリカに居住する個人に関するものであっても関係ありません。また、処理を行う物理的な場所がEU域内である必要性もありません。
例外1:EU域内の個人に対する商品/サービスの提供を行っていれば適用
次は、2項(a)号を見ましょう。
「EU域内のデータ主体に対する物品又はサービスの提供」をしている場合にも、GDPRが適用されるとあります。
したがって、たとえEUに拠点がない組織による個人データの処理であっても、EU域内の個人に対して物品又はサービスの提供に関連する場合には、GDPRが適用されます。
例外2:EU域内で行われる個人の行動をモニタリングしていれば適用
続いて、2項(b)号です。
「データ主体の行動がEU域内で行われるものである限り、その行動の監視」について、GDPRが適用されると定められています。
したがって、たとえEUに拠点がない組織による個人データの処理であっても、EU域内で行われる個人の行動のモニタリングに関する場合には、GDPRが適用されます。
モニタリングの例としては、次のような処理があります。
・ 行動ターゲティング広告
・ クッキーによるトラッキング
・ 健康分析サービス
・ 監視カメラによる撮影
・ 個人プロファイリングに基づく市場調査/行動調査
例外3:国際公法によりEU法が適用される場所でのデータ処理にも適用
最後に、マイナーですが3項についても見ます。
字面からだとピンとこないと思いますが、EU加盟国の大使館・領事館、EU加盟国籍の船舶などをイメージして頂ければと思います。
注意が必要なケース
EU域内に現地法人や支店は無いが、事業実態がある
これは、原則ルールである3条1項の問題です。
「EU域内の管理者又は処理者」に該当するか否かは、かならずしもEU域内における現地法人、支店の有無により決定されません。
しばしば言及されるのは「域内での安定的な取り決めを通じた現実的かつ効率的な活動」を行っていれば、EU域内に拠点があると解釈されます。
これは、Weltimmo事件(*3)において言及されたもので、Weltimo社は、スロバキアの法人でしたが、次のような事情が斟酌されて、ハンガリーに拠点があると判断されました。
・ WEBサイトは、ハンガリーの不動産に関するものであり、ハンガリー語で書かれており、ハンガリーに向けられたものであった。
・ ハンガリーに代理人がおり、行政・司法手続に関して同社を代表させていた。
・ ハンガリーに債務回収のための銀行口座を開設していた。
・ 日常の業務管理のためにハンガリーのレターボックスを使用していた。
なお、Weltimmo事件の当時、既にスロバキアはEU加盟国だったので、本件は域外適用の話ではありません。ただし、例えばWeltimmo社が非EU加盟国であるセルビアの法人であっても、同様にハンガリーに拠点があると判断されていたはずです。
EU域内からアクセス可能なWEBサービスを提供している
これは、例外ルール1又は2(2項(a)号, (b)号)に関する問題です。
実は、EU加盟国+リヒテンシュタイン・ノルウェー・アイスランド+UKからYahoo! Japanにアクセスしようとすると、次のようにブロックされてしまいます。
真相は不明ですが、もしかしたら、GDPRなどのデータ保護法へ対応のコストとEU加盟国にいる日本人にサービスを提供するメリットが釣り合わないと判断したのかもしれません。
4条2項(1)号を見返して頂ければわかるように、EU域内にいる個人に対するサービスの提供は、有償・無償を問いません。Yahoo! Japanは極めて大規模な検索エンジンですし、GDPRが適用される可能性は否めません。
じゃあ、WEBサービスを提供する=GDPRの域外適用なのか?
今の時代、WEBサービスは世界のどこからでもアクセス可能です。WEBサービスを提供する日本企業にはすべからくGDPRが適用されるのでしょうか。そうだとすれば、note株式会社もその一人ですね。
でも、答えはNOです。
EU域内からアクセス可能だからと言って、必ずGDPRが適用されるわけではありません。
4条2項(1)号の該当性は、「EU域内の個人に商品・サービスを提供していることが明らかであるかどうか」を確認して判断されます(*4)。そして、偶発的に、EU域内の個人に商品・サービスを提供しただけでは、必ずしもGDPRの適用対象にはならないと解されています。
例えば、日本人がフランス旅行中に日本市場を対象にしたニュースアプリにアクセスして、その結果運営会社がその日本人の個人データを処理したとしても、GDPRの適用対象とはならないと考えられています(*5)。
実務上は、次の要素がWEBサービスに含まれる場合には、GDPRの域外適用を疑ってみてください。
・ EU加盟国の言語の使っている
・ EUの個人を対象としたマーケティングを実施している
・ EU加盟国の言語での注文が可能である
・ EUからのアクセスを促すために検索エンジンに料金を支払っている
・ EUの個人に向けた専用住所や電話番号を持っている
・ ドメインに「.eu」「.fr」「.de」などを使用している
おわりに
GDPRの地域的適用範囲の話、いかがだったでしょうか。
ビビりすぎる必要はないものの、意外と域外適用の範囲が広いことに驚かれたかもしれません。
色々書きましたが、今回ぼくがお伝えしたかったことは次の2点です。
・ EU域内に拠点がある組織による個人データの処理には、問答無用でGDPRが適用される!
・ EU域内に拠点がなくても、(i)EU域内の個人に対して商品・サービスを提供したり、(ii)EU域内の個人のモニタリングを行ったりする場合には、GDPRが域外適用される!
なお、UK GDPRの適用については、「EU」を「UK」に読み替えて頂ければOKです。UK GDPRの詳しい説明はこちら。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 GDPR, Art 1(2)
*2 個人情報保護委員会が公開している仮訳です。リンクはこちら
*3 Case C-230/14, Weltimmo s.r.o. v Nemzeti Adatvedelmi es Informacioszabadsag Hatosag, judgment of 1 October 2015 (ECLI:EU:C:2015:639)
*4 GDPR, Recital 23
*5 European Data Protection Board, ‘Guidelines 3/2018’, p. 15
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにもデータ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?