欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(2)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてガイドラインを公開した。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてみる。

「地理的範囲」について問題になるのは以下の3点。

1.事業所(establishment)に関する適用基準:GDPR第3条(1)
2.対象(targeting)に関する適用基準:GDPR第3条(2)
3.国際公法によりEU加盟国の国内法が適用される場合:GDPR第3条(3)

3つ目は直接関係ないと思われるので省略する。

この記事では(1)に続いて「2.対象(targeting)に関する適用基準:第3条(2)」を取り上げる。

2.対象(targeting)に関する適用基準:第3条(2)

ガイドラインのこの部分には、EU域内に事業所がなくても、第三国のデータ管理者やデータ処理者がGDPRの適用対象になりうること、いわゆる「域外適用」の基準について書かれている。

ちなみにガイドラインのこの部分は突然本筋から外れて、データ管理者やデータ処理者はGDPRだけでなく、EU域内各国の独自の個人データ保護法制にも注意を払うよう書かれている。国によってはGDPRより厳しい規定があるためだ。

さて、本筋に戻って「域外適用」の議論は以下の3つに分けられている。

a)考慮点1 : EU域内のデータ主体
b)考慮点2a : EU域内のデータ主体への商品またはサービスの提供、データ主体が支払いを要求されるか否かにかかわらず。
c)考慮点2b : データ主体の行動の監視

2.a)考慮点1 : EU域内のデータ主体

まず事例から見てみよう。

例8 : 米国のスタートアップがEU域内に事業拠点や事業所を全く持たず、旅行者に都市地図アプリを提供している。データ主体であるユーザが都市を訪れてアプリを使い始めると、このアプリは利用者の居場所に関する個人データを処理する。その目的は訪れた場所の観光地、レストラン、ホテルなどのターゲット広告を提供するためだ。アプリはニューヨーク、サンフランシスコ、トロント、ロンドン、パリ、ローマを訪れた旅行者が利用できる。

この米国のスタートアップは、都市地図アプリを通じて、EU域内(特にロンドン、パリ、ローマ)の個人にサービスを提供している。EUに所在するデータ主体の個人データを、サービス提供に関連づけて処理するため、GDPRの提供対象となる。

ここで重要なのは、単にEU域内の個人データを処理している事実だけではGDPR適用にならず、EU域内の個人を「対象とし(targeting)」、商品またはサービスを提供するか、その行動を監視している事実が必要な点だ。

例9 : ある米国市民が休暇に欧州を旅行した。欧州に滞在中、米国企業の提供するアプリをダウンロードして利用した。そのアプリは米国市場だけを対象としている。米国の旅行者の個人データを米国企業がアプリを通じて収集することは、GDPR適用対象にならない。

さらに注意すべきは、EU市民やEU居住者の個人データの処理が第三国で起こっているというだけではGDPR適用対象にならない点だ。さらにそのデータ処理がEU域内の個人に向けた明確な商品またはサービスの提供に関連しているか、EU域内個人の行動監視に関連していて初めてGDPR適用対象になる。

例8は、明確にEU域内の個人を対象としている(targeting)のでGDPRが適用される。

例9は、米国に旅行で滞在中の米国市民は、GDPRの定義上はEU域内のデータ主体となるが、このアプリは米国市場だけを対象としており、EU域内の個人を対象としていることが明確でないので、GDPR適用対象にならない、ということだ。

例10 : ある台湾の銀行に、台湾在住だがドイツ市民権を持つ顧客がいる。その銀行は台湾だけで事業活動を行っており、EU市場に向けた活動をしていない。その銀行がこのドイツ市民権を持つ顧客の個人データを処理することはGDPR適用対象にならない。

例11 : カナダ移民当局が、EU市民がビザ審査のためにカナダの領域に入ったとき、そのEU市民の個人データを処理している。この処理はGDPR適用対象にならない。

2.b)考慮点2a : EU域内のデータ主体への商品またはサービスの提供、データ主体が支払いを要求されるか否かにかかわらず。

ここではGDPRのRecital 23が議論されている。EU域内のデータ主体への商品またはサービスの提供と言えるためには、どういう条件が必要かという論点だ。

単にEU域内でデータ管理者やデータ処理者のウェブサイトが閲覧できる、というだけでは「商品またはサービスの提供」と言うには十分ではない。

EU各国で一般的に使われている言語や通貨をサポートしていることや、EU域内の顧客やユーザに直接的に言及していることなど、データ管理者の意図が明確なら十分となる。

ここでガイドラインは欧州司法裁判所の過去の判例を持ち出し、「EU域内のデータ主体への商品またはサービスの提供」の理解の助けになり、その判例にある以下の点を考慮に入れることができるとしている。

― EUまたは少なくともEUの1つの国が、商品やサービスと関連して名指しされている。
― データ管理者またはデータ処理者が、インターネット参照サービスの検索エンジン運営会社にお金を支払い、EU域内の消費者がそのウェブサイトにアクセスしやすいようにしている。またはデータ管理者またはデータ処理者が、EU市民に向けてマーケティングや広告キャンペーンを打ち出している。
― 旅行活動など、問題となる活動に国際的な性質がある。
― EU加盟国から連絡できる専用の住所や電話番号の言及がある。
― データ管理者やデータ処理者が設立されている第三国以外のトップレベルドメイン名を使っている。例えば”.de”や、”.eu”のような中立的なトップレベルドメイン名など。
― サービスが提供されている1つ以上のEU加盟国への旅行案内の記述がある。
― 様々なEU加盟国に住んでいる顧客からなる国際的な取引先について言及がある。
― 業者の所在国で一般的に使われている以外の言語または通貨を使っている。特にEU加盟国の1つ以上の国の言語または通過を使っている。
― データ処理者がEU加盟国への商品の発送を提供している。

これらの一つだけでは「EU域内のデータ主体への商品またはサービスの提供」に該当せず、いくつかを満たす必要がある。

やはり重要なのは、単にEU域内でデータ管理者、データ処理者、その中間業者のウェブサイトにアクセスできるだけでは該当せず、連絡先メールアドレスや住所、国コードの無い電話番号が書いてあるだけでは、十分な条件にならないという点だ。

例12 : トルコに拠点がありトルコで管理されているウェブサイトが、家族の写真アルバムの制作、編集、印刷、発送サービスを提供している。そのウェブサイトは英語、フランス語、オランダ語、ドイツ語で利用でき、ユーロとポンドで支払いができる。作成したアルバムは英国、フランス、ベネルックス、ドイツにのみ郵送できると書かれている。

この場合、家族の写真アルバムの制作、編集、印刷がEU法におけるサービスを構成していることは明白である。ウェブサイトでEUの4か国語が利用でき、EU加盟国のうち6か国に郵送できるという事実が、トルコのウェブサイト側にEUの個人にサービスを提供する意図があることを示している。

その結果、トルコのウェブサイトがデータ管理者として行うデータ処理が、EU域内のデータ主体に向けたサービスと関連しており、したがってGDPRの適用対象となる。

GDPR第27条にしたがって、データ管理者はEUに代表者を任命しなければならない。

例13 : モナコを拠点とする民間企業が給与の支払いのためにその社員の個人データを処理している。同社社員の大多数はフランスとイタリアの居住者である。

この場合、同社によって行われるデータ処理はフランスとイタリアのデータ主体に関わっているが、商品やサービスの提供という文脈で行われているのではない。たしかに第三国の企業による給与の支払いを含む人事管理は、GDPR第3条(2)aにあるサービスの提供とはみなされない。当該データ処理はEU域内のデータ主体への商品やサービスの提供に関連しておらず(また行動の監視にも関連しておらず)、結果としてGDPR第3条の適用対象ではない。

ただしこの評価は、関係する第三国の法律の適用を妨げるものではない。

例14 : チューリッヒにあるスイス大学が修士課程の選考プロセスを立ち上げ、志望者が履歴書と申請書を詳細な連絡先とともにアップロードできるオンライン・プラットフォームを作成した。この選考プロセスは十分なレベルのドイツ語と英語力があり、学士号をもつすべての学生に開かれている。同大学はEUの各大学に限定した広告をしておらず、スイス通貨での支払いしかできない。

修士課程の募集、選考プロセスにおいてEU域内の学生に対する区別や特定がないため、スイス大学はEU加盟国の学生を対象としている意図があることにはならない。十分なレベルのドイツ語と英語というのは、スイスの居住者であろうと、EU居住者であろうと、第三国の学生であろうと、すべての志望者に要求されている。EU加盟国の学生を特に対象としているその他の要素もないので、当該データ処理はEU域内のデータ主体に対する教育サービスの提供に関連しているとは言えず、したがってそのようなデータ処理はGDPRの適用対象にならない。

スイス大学は国際関係の夏期講習も提供しており、できるだけ多くの受講者をむかえるためドイツとオーストリアの大学で宣伝を行っている。この場合は、EU域内のデータ主体にサービスを提供するというスイス大学の意図は明らかであり、関連するデータ処理活動はGDPRの適用対象となる。

2.c)考慮点2b : データ主体の行動の監視

GDPR第3条(2)の適用対象となるもう一つのタイプの活動は、EU域内で起こるデータ主体の行動の監視だ。オンラインでEU域内個人のデータを収集あるいは分析すれば自動的に「監視」になるわけではないが、以下のような幅広い活動監視が含まれうる。

― ユーザの行動にもとづく広告配信
― 場所を特定する活動、とくにマーケティング目的のもの
― クッキーやその他フィンガープリンティングなどのトラッキング技術を利用したオンライントラッキング
― パーソナライズされた食事制限や健康分析のオンラインサービス
― 監視カメラ
― 個人のプロファイルにもとづく市場調査とその他の行動研究
― 個人の健康状態についての監視または定期的なレポーティング

例15 : 米国にあるマーケティング企業が、ショッピングセンター内のWiFiのトラッキングによって収集された顧客の動きの分析に基づいて、フランスにあるショッピングセンターの小売業レイアウトに助言を与えている。

WiFiのトラッキングによるショッピングセンター内での顧客の動きの分析は、個人の行動の監視に相当する。このケースでは、ショッピングセンターがフランスにあるため、データ主体の行動はEU域内で起こる。したがって当該マーケティング企業はデータ管理者としてGDPRの適用対象となる。

第27条にしたがって、データ管理者はEU域内に代表者を任命しなければならない。

例16 : EU域内に事業所のないカナダのアプリケーション開発会社が、EU域内のデータ主体の行動を監視している。したがってGDPRの適用対象となる。この開発会社はアプリの最適化とメンテナンスのために米国のデータ処理者を使っている。

このデータ処理に関連して、カナダのデータ管理者は適切なデータ処理者のみを使わなければいけないため、GDPRの定める義務を米国にあるデータ処理者との契約に反映する必要がある。

以上が「2.対象(targeting)に関する適用基準:第3条(2)」についてのガイドラインとなる。

「3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)」は関係する企業はあまりないと思われるため、2つの例示だけ日本語試訳しておく。

3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)

例17 : ジャマイカ・キングストンにあるオランダ領事館がその業務を支援するための現地スタッフ採用するためオンラインの応募プロセスを開設した。

ジャマイカ・キングストンにあるオランダ領事館はEU域内に設置されていないが、Eu加盟国を管轄する地位であり、国際公法上、EU加盟国の法律が適用されることから、その個人データ処理はGDPR第3条(3)の適用対象となる。

公海を航行するドイツのクルーズ船が航海中のエンタテインメントを乗船客に合わせて提供するために乗船客のデータを処理している。

この船はEU域外の公海に存在するが、ドイツで登録されているクルーズ船であることから、国際公法によりその個人データ処理はGDPR第3条(3)の適用対象となる。

以上が「3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)」となる。

ガイドラインには地理的範囲の解釈の他に、さらに「4.」として「EU域内にないデータ管理者または処理者の代表者」についても書かれている。

EU域内に事業所のない企業・組織であっても第3条(2)で地理的範囲内と見なされ、GDPRの適用を受ける場合、EU域内に代表者を置く必要があるためだ。

地理的範囲のガイドラインについての、さらに派生的なガイドラインになるが、いちおう次の記事でまとめておく。