欧州の「GDPR」（個人情報保護に関する規則）が日本のweb事業者に及ぼす影響。【弁護士監修】

最近、webサイトを巡回していると、どうもCookie利用に関する同意を求めるサイトが多いと思いませんか？
実はこれ、EUの定めた規則の影響です。

具体的には、個人データ（個人情報）の取扱いに関して、EUは「GDPR（General Data Protection Regulation）」という規則を定めています。

そして、GDPRは日本国内の事業者にも、域外適用される場合があります。

特にWebサービス提供事業者は、Cookieの取得・利用についてGDPRの規制を受ける可能性がありますので、個人情報保護マニュアル等の見直しが必要になる可能性があります。

そこで今回は、事業者が注意すべきGDPR規制の概要をまとめました。

1. GDPRとは

「GDPR（General Data Protection Regulation）」とは、個人データの取扱いに関する規制を定めるEU（欧州連合）の規則です。日本語では「EU一般データ保護規則」と訳されています。

日本国内の事業者に対しては、日本の個人情報保護法令が適用される一方で、GDPRが併せて適用される場合があるので注意が必要です。

2. GDPRの適用範囲｜EU圏外の事業者にも域外適用され得る

GDPRはEUの規則ですが、EU圏外の事業者に対して域外適用される場合があります。日本国内の事業者も、域外適用の対象となっている場合には、GDPRの規制を遵守しなければなりません。

個人データの取扱いについてGDPRが適用される事業者は、以下のとおりです（GDPR3条）。

①EU域内の管理者および処理者
「管理者」とは、個人データの取扱いの目的・方法を決定する者（自然人・法人・行政機関など）を意味します。
「処理者」とは、管理者の代わりに個人データを取り扱う者（自然人・法人・行政機関など）を意味します。
 
EU域内の管理者または処理者が、拠点の活動過程で個人データを取り扱う場合には、一律GDPRが適用されます。
 
（例）
・EU法に準拠して設立された会社が、顧客の個人データを取扱う場合
・EU法に準拠して設立された会社が、委託を受けて日本の会社の顧客の個人データを取扱う場合
 
②EU域内の管理者から個人データの取扱いの委託を受けた処理者
処理者自身がEU域内の主体でない場合でも、委託元の管理者がEU域内にある場合には、処理者による個人データの取扱いにGDPRが適用されます。
 
（例）
・日本の会社が、委託を受けてEU法人の顧客の個人データを取扱う場合
 
③EU域内の個人に対して、商品やサービスを提供する事業者
事業者自身がEU域内の主体でなくても、商品やサービスの提供先である個人がEU在住の場合には、事業者による個人データの取扱いにGDPRが適用されます。
 
（例）
・日本の会社が、EU在住の顧客に対して、ECサイトを通じて商品を販売する場合
 
④EU域内の個人の行動を監視する事業者
「監視」には、ターゲティング広告やレコメンドなど、個人の行動を捕捉する行為が広く含まれます。
事業者自身がEU域内の主体でなくても、行動監視の対象である個人がEU在住の場合には、事業者による個人データの取扱いにGDPRが適用されます。
 
（例）
・日本のWebマーケティング会社が、EU在住のサイト閲覧者に対して、ターゲティング広告を表示する場合

特に日本国内のWebサービス提供事業者は、③および④によるGDPRの適用に注意しなければなりません。EU企業との間で取引がないとしても、自社のウェブサイトにEUからのアクセスが集まっている場合には、GDPRの規制を踏まえた対応が求められます。

3. GDPRでは「個人データ」の「取扱い」が規制されている

GDPRは、対象事業者による「個人データ」の「取扱い」に対して適用されます。

特にWebサービス提供事業者にとっては、Cookieが「個人データ」の定義に含まれており、GDPRの適用対象となる点に注意が必要です。

3-1. GDPR上の「個人データ」とは？｜Cookieも含まれる点に要注意