IT法務や仮想通貨、ICO、AIの法律に詳しい弁護士|中野秀俊のホームページです。 IT法務や仮想通貨(ICO)、AIなどのITビジネスを専門に扱う法律事務所です。
グローウィル国際法律事務所
10:00~18:00(月~金)

GDPRが適用される範囲にはEU以外も含まれる?!【地理的範囲についてのガイドライン】

インターネット法律

GDPRのガイドラインが公表

2018年11月23日、欧州データ保護評議会(European Data Protection Board )より、GDPRが 適用される地理的範囲などについてが公表されました。

GDPRについて、実際、どこまで適用対象なのか分かりづらいということで、今回のガイドラインが、公表されました。

このガイドラインついて、今回は、解説します。

GDPRが適用される2つの基準

GDPRが適用される基準には「事業所」基準「標的」基準の2つが示されています。

会社やそのサービスが、2つの基準のいずれかが適用される場合には、GDPRの適用があるというものです。

「事業所」基準

GDPR第3条第1項は、「GDPRは、EUでの処理の有無にかかわらず、EU域内の管理者または処理者の事業所の活動の状況における個人データの処理に適用される」と規定している。

個人情報を処理する事業所がある場合

つまり、EU内に個人情報などを処理する事業所がある場合には、GDPRが適用されるというものです。

ガイドラインでは、以下のような事例が掲載されています。

米国に本社を持つ自動車製造会社は、ブリュッセルに完全所有の支店と事務所を構え、マーケティングや広告など、ヨーロッパのすべての事業を監督している。

この場合、ブリュッセル支店については、GDPRが適用されます

EU域内で収入を上げている場合

GDPRは以下の場合にも適用されるとしています。

  • EU域内において収入を上げている
  • EU域内の事業所がEU域内で収入を上げた場合や収入を上げるための行動を行った場合

ガイドラインでは、以下のような例が規定されています。

中国に拠点を置く企業が運営する電子商取引のウェブサイトは、データ処理活動は専ら中国国内で行われているが、EU市場に向けた商業的探査とマーケティングキャンペーンを主導して実施するために、欧州事務所をベルリンに設置した。

この場合、ベルリンの欧州事務所の活動は、EU市場への商業的な売り込みとマーケティングキャンペーンが電子商取引ウェブサイトが提供するサービスを収益性のあるものにするのに役立つものであれば、GDPRの適用があるとされています。

EU域内の管理者または処理者の事業所

個人データの処理がEU域内で行われるか否かを問わず、EU域内の管理者または処理者の事業所に対してGDPRの適用をすることとされています。

例えば、以下の事例が示されています。

フランスの企業は、モロッコ、アルジェリア、チュニジアの顧客専用のカーシェアリングアプリケーションを開発した。このサービスは、これらの3カ国でのみ利用可能であるが、すべての個人データ処理活動は、フランスのデータ管理者によって実行される。

この場合、個人情報の収集は非EU諸国で行われるが、この場合の個人データのその後の処理は、フランスのデータ管理者で行われています。よって、GDPRの適用があります。

「標的」基準の適用

上記のように、事業所や個人データ処理が、EU内で行われている場合には、GDPRの適用があることが分かりました。

しかし、上記のように、EU域内における事業所が存在しない、データ処理が行われていないからといって、GDPRが適用されないわけではありません。

GDPRは、その活動に応じて、EU域内に設立されていない管理者または処理者に適用される場合を規定しています。以下の事例が規定されています。

米国で設立されたスタートアップ企業が、EU域内において事業活動または事業所がなく、観光客のための都市マッピングアプリケーションを提供している。

アプリケーションは訪問した都市でアプリケーションを使用し始めると、アプリケーションを使用している顧客(データ主体)の場所に関する個人データを処理し、訪問先、レストラン、バー、ホテルの場所のターゲット広告を提供する。このアプリケーションは、ニューヨーク、サンフランシスコ、トロント、ロンドン、パリ、ローマを訪れる旅行者に利用可能である。

この米国のスタートアップは、都市マッピングアプリケーションを通じて、EU(特にロンドン、パリ、ローマ)の個人にサービスを提供しています。

そうなると、EU内の個人情報を取得することになります。このように、EU内の個人情報を取得する場合は、GDPRの適用がされるのです。

このように、EU内に向けたサービスの場合には、GDPRの適用があることになります。よって、以下のような場合には、GDPRの適用はないとされています。

米国市民が休暇中にヨーロッパを旅行している。 ヨーロッパにいる間、彼は米国企業が提供するニュースアプリをダウンロードして使用する。 このアプリは独占的に米国市場向けである。米国企業によるアプリ経由の米国観光客の個人情報の収集には、GDPRは適用されない。

EU向けのサービスとは

では、どういった場合に、EU内向けのサービスとみなされるのでしょうか。ガイドラインでは、以下の例を示しています。

トルコで拠点を置き、管理しているウェブサイトは、個人化された家族写真アルバムの作成、編集、印刷、出荷サービスを提供している。このウェブサイトは英語、フランス語、オランダ語、ドイツ語で利用でき、支払いはユーロまたはスターリングで行うことができる。このウェブサイトによれば、写真アルバムは英国、フランス、ベネルクス諸国、ドイツの郵便でしか送達されないとされている。

この場合、ウェブサイトがEUの4つの言語で利用可能であり、フォトアルバムが6つのEU加盟国で郵送で送付可能であるということはEU国内向けのサービスであるとしています。

ウェブサイトなどが、EU内の言語(英語以外)で書かれていた場合には、EU向けのサービスであると認定される可能性が高いです。

もっとも、ガイドラインでは以下の例もあります。

モナコに拠点を置く非公開会社は、給与支払の目的で従業員の個人データを処理する。 会社の従業員の多くはフランス人とイタリア人である。

この場合、会社が行う処理はフランスとイタリアのデータ主体に関連するが、商品やサービスの提供の文脈では行われていない。第三国企業による給与支払いを含む人事管理は、第3条第2項の意味でのサービス提供とはみなされない。

以上のように、給与の支払いなどの管理業務においては、EU向けのサービス提供とはされないということになっています。