欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(1)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてパブリックコメント用ガイドラインを公開した。コメント募集期間は2018/11/23~2019/01/18。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてみる。

「地理的範囲」について問題になるのは以下の3点。

1.事業所(establishment)に関する適用基準:第3条(1)
2.対象(targeting)に関する適用基準:第3条(2)
3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)

3つ目は直接関係ないと思われるので省略する。

1.事業所(establishment)に関する適用基準:第3条(1)

事業所に関する適用基準の論点として以下の4点が挙げられている。それぞれガイドンラインに書かれている事例を読むのが近道と思われる。

a)「EU域内の事業所」の「EU域内」の解釈
b)「事業所の活動に関連して」なされる個人データの処理の「活動に関連して」の解釈
c)データ処理がEU域内で起こっているかどうかにかかわらず、EU域内のデータ管理者または処理者にGDPRが適用されることについて
d)「事業者」の解釈

1.a)「EU域内の事業所」の「EU域内」の解釈

まず1.a)「EU域内の事業所」の「EU域内」の解釈の事例。

例1 : 米国本社の自動車メーカーがブリュッセルに完全な管理下にある支店を持ち、マーケティングや広告を含め欧州の全業務を統括している。

このベルギー支社は自動車メーカーの経済活動の性質から実質的で実効的な活動を行っている安定した配置(arrangement)とみなせる。したがってベルギー支店はGDPRの意味するところで、EU域内の事業所とみなすことができる。

対象となる事例だけを見ても分かりづらいが、対象外となる事例も書かれている。

非EU企業がEU域内に事業所を持っているが、単に運営するWebサイトがEU域内でアクセスできるというだけでは対象に含まれない。

つまりEU域内で「real and effective activities(実質的で実効的な活動)」を行う事業所があれば、その事業所を統括する企業がEU域外にあっても、事業所の規模にかかわらず、非常に小さなものでも(even a minimal one)GDPRの適用対象ということだ。

では「real and effective」とはどういう意味なのかについては、このガイドラインにも書かれていない。

単にWebサイトがEU域内でアクセス可能なことは「real and effective activities」ではない。

ではEU域外の企業がEU域内でアクセスできるWebサイトを運営している場合、このWebサイトがどこまでの機能やサービスを提供していれば「real and effective」な活動をしていると見なされ、GDPR対象となるのか。

それは、1.b)「事業所の活動に関連して」なされる個人データの処理の「活動に関連して」の解釈の部分に書かれている。

1.b)「事業所の活動に関連して」の「活動に関連して」の解釈

b)はさらに次の2つの論点に分けられている。

i) EU域外のデータ管理者または処理者とEU域内の事業所の関係性
ii) EU域内の収益

1.b)i)EU域外のデータ管理者または処理者とEU域内の事業所の関係性について

EU域内の事業所が実際にいかなるデータ処理を行っていなくても、EU域外のデータ管理者または処理者とEU域内の事業所が「密接に(inextricably)」関連していればGDPRが適用される。

ではどの程度「密接に(inextricably)」関連していれば適用されるのかについては「事実についてケースバイケースの分析が密接な関連を示せば」とあり、結局ケースバイケースの判断になると書かれている。

1.b)ii) EU域内の収益について

EU域内の事業所がEU域内の活動が、域外のデータ管理者またはデータ処理者と「密接に関連する」と言える程度に収益をあげている場合は、GDPRの適用対象になるとある。

つまり収益基準は密接性基準で判断されることになり、収益基準自体に金額の基準があるわけではない。

そこで欧州データ保護会議は非EU企業や組織はデータ処理活動についてアセスメントを行うことを勧めている。

第一に、個人データが処理されているかどうか、第二に、個人データ処理の目的である活動とEU域内の組織の間に関連があるかどうか。関連があると確認できた場合は、その関連の質がGDPR適用対象となるかどうかの鍵になる。

ここで事例が出て来る。

例2 : 中国拠点のECサイトが、データ処理活動は完全に中国国内だけで行っているが、ベルリンに欧州オフィスを持ち、EU市場向けの市場予測やマーケティング・キャンペーンを主導的に行っている。

この場合、そのEU市場向けの市場予測やマーケティング・キャンペーンがECサイトの提供するサービスで収益をあげることに明白に貢献している限りにおいて、ベルリンにある欧州オフィスの活動は中国ECサイトによって行われる個人データ処理と密接に関連していると見なせる。したがって、この中国企業による個人データ処理は欧州オフィスの活動の文脈で行われていると見なせ、GDPR第3条(1)により適用対象となる。

この事例は当然すぎる。EU域内で収益をあげるためにECサイトを運営しているのだから、EU個人データ処理が中国国内に完全に限定されていてもGDPR対象になるのは当たり前だ。

例3 : 南アフリカのホテルリゾート・チェーンが、英語、ドイツ語、フランス語、スペイン語で利用できるウェブサイトでパッケージサービスを提供している。ただし同社はEU域内にオフィス、代表者、安定した配置(stable arrangement)を一つも持っていない。

この場合、EU域内に代表者や安定した配置が一つもないため、南アフリカのデータ管理者と関連したEU域内の事業所と見なせる会社は存在しない。したがって当該データ処理はGDPRの第3条(1)の対象にならない。

しかしながら、このEU域外のデータ管理者によって行われるデータ処理がGDPR第3条(2)に該当しないかを具体的に(in concreto)分析する必要がある。

この事例は、GDPR第3条(1)だけに基づけばこの南アフリカ企業はGDPR適用対象外だが、後述の第3条(2)に基づいて適用対象になるおそれがある、という意味だ。つまりこの例3はまだ結論が出ていない。

1.c)データ処理がEU域内で起こっているかどうかにかかわらず、EU域内のデータ管理者または処理者にGDPRが適用されることについて

これは事例から見てみる。

例4 : フランス企業がモロッコ、アルジェリア、チュニジアの顧客だけが利用できるカーシェアリングアプリを開発した。このサービスはこれら3か国のみで利用可能だが、全ての個人データ処理活動はフランスのデータ管理者で行われている。

個人データ収集は非EU国で起こっているが、この場合の個人データの後続の処理はEU域内のデータ管理者の活動の文脈で行われている。したがって非EUのデータ主体の個人データに関する処理であっても、このフランス企業が行うデータ処理にGDPR第3条(1)が適用される。

EU域外国籍のデータ主体や、EU域外居住のデータ主体の個人データ処理であっても、EU域内のデータ管理者が行っていればGDPRが適用されるということだ。

1.d)「事業者」の解釈

1.d)「事業者」の解釈についてもi)とii)に分かれている。

i) EU域内のデータ管理者がGDPR適用外のデータ処理者を使って行うデータ処理
ii) EU域内のデータ処理者の事業所の活動の文脈で行われるデータ処理

1.d)i)EU域内のデータ管理者がGDPR適用外のデータ処理者を使って行うデータ処理

GDPRが適用されるデータ管理者が、EU域外にありGDPRが適用されないデータ処理者を使う場合、GDPR第28条(3)にある契約または法的措置が必要になる。したがってGDPR適用外のデータ処理者もある程度までGDPRの義務を課せられる。

例6 : フィンランドの研究機関がサーミ人に関する調査を行った。同機関はロシアのサーミ人だけに関するプロジェクトを立ち上げた。このプロジェクトについて同機関はカナダにあるデータ処理者を使った。

GDPRは形式的にはカナダのデータ処理者に直接適用されないが、フィンランドのデータ管理者は、GDPRの要求を満たすようにデータを処理し、データ主体の権利を保護するよう、適切な措置を行う十分な保証を提供するデータ処理者のみを使うよう義務付けられている。フィンランドのデータ処理者はカナダのデータ処理者とデータ処理合意(data processing agreement)を締結する必要があり、データ処理者の義務は法的な行為の中で明記される。

これはいわゆるデータ管理者~EU域外データ処理者間のSCC(Standard Contractual Clauses)枠組みなどのことを指しており、問題ないだろう。

1.d)ii) EU域内のデータ処理者の事業所の活動の文脈で行われるデータ処理

ここではデータ管理者とデータ処理者の区別が書かれている。

例7 : スペインのデータ処理者が、顧客の個人データ処理のために、データ管理者であるメキシコの小売企業と契約を結んだ。メキシコの企業はそのサービスをメキシコ市場だけに提供しており、データ処理はEU域外のデータ主体のみに関わる。

このケースで、メキシコの小売企業は商品やサービスの提供を通じてEU域内の個人を対象としておらず、EU域内の個人の行動の監視も行っていない。したがってEU域外のデータ管理者によるデータ処理はGDPRが適用されない。

GDPRの規定はデータ管理者には適用されないが、データ処理者はスペインにある事業所として、それ自身の活動の文脈において行われるいかなるデータ処理についても、GDPRによって課される義務を果たす必要がある。

つまり、EU域内のデータ処理者が、EU域外のデータ管理者の単なる代理でデータ処理を行う場合でも、データ処理者はGDPRのデータ処理者に対する規定の適用を受けるということだ。

さらに、EU域内のデータ処理者は自身のデータ処理がEUやEU域内の各国法を遵守するようにしなければいけない。データ管理者からの指示がGDPRやEU域内の各国の国内法に違反する場合、データ管理者にただちにそのことを知らせる必要がある。

これはEU域内のデータ処理者が、域外のデータ管理者にとっての「データヘイヴン」にならないようにするためだと書かれている。

EU域内のデータ処理者が、意図的にEU域外のデータ管理者からデータ処理を委託された体にすることで、GDPRやEU域内の個人データ保護法制逃れをするのを防ぐためだ。

しかし、委託元のEU域外のデータ管理者には、EU域内のデータ処理者に委託したことを理由として、追加の義務が課せられることはない。では全くGDPRが適用されないのかというとそうではない。それはまだ先に書かれている。

以上で「1.事業所(establishment)に関する適用基準:第3条(1)」が終わった。

残りの「2.対象(targeting)に関する適用基準:第3条(2)」については別記事に書く。

個人的な感想を書けば、この時点ですでに論理展開が非常に複雑で、解釈が明確になるどころか、逆に理解が難しくなっている。しかも「case by case」の判断や自己アセスメントで決定する場合もあるとも書かれている。これでガイドラインと言えるのだろうか、という気はするが…。