欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(3)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてガイドラインを公開した。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてご紹介しているが、地理的範囲のガイドラインに加えて「4.EU域内にないデータ管理者または処理者の代表者」のガイドラインも示されている。

EU域内に事業所のない企業・組織であっても第3条(2)で地理的範囲内と見なされ、GDPRの適用を受ける場合、EU域内に代表者を置く必要があるためだ。

このガイドラインについても一応要点だけ拾ってみる。

4.EU域内にないデータ管理者または処理者の代表者

このガイドラインは以下の4点が議論になっている。

a) 代表者の任命
b) 代表者の任命が免除される場合
c) 処理される個人データのデータ主体が存在するEU加盟国の事業所について
d) 代表者の義務と責任

4.a)代表者の任命

ここには代表者が満たすべき条件について書かれている。まず例示から。

例19 : 例12にあるウェブサイトは、トルコに拠点があり、家族写真のアルバムの制作、編集、印刷、発送を行っている。このウェブサイトは英語、フランス語、オランダ語、ドイツ語があり、ユーロまたはポンドで支払いができる。またこのウェブサイトは、英国、フランス、ベネルックス、ドイツにのみアルバムを郵送すると記載している。GDPR第3条(2)(a)により、このウェブサイトはGDPR適用対象となり、データ管理者はEU域内に代表者を任命しなければならない。

代表者はサービスを利用できるEU加盟国で任命しなければならない。このケースでは英国、フランス、ベルギー、オランダ、ルクセンブルク、ドイツのいずれかとなる。アルバム制作のサービスを開始すると同時に、データ主体が、データ管理者の名称と詳細な連絡先をオンラインで閲覧できるようにする必要がある。ウェブサイトには全般的なプライバシーノーティスも掲載する必要がある。

この例示は代表者をどの国に設置する必要があるかしか書かれていないが、代表者が満たすべき条件は他にも書かれている。

まず代表者は自然人(個人)でも法人でも良く、一人の代表者がEU域外の複数のデータ管理者、処理者を代表しても良い。その場合でも特定の人物が各データ管理者、処理者の主担当になるようにするのが望ましいが、必須ではない。

欧州データ保護会議は、代表者は社外DPO(Data Protection Officer)同等の役割を果たすべきと考えてはいない。DPOはデータ管理者から独立しており、その影響を受けないことが必要だが、代表者は逆にデータ管理者または処理者の指示にしたがって、その代表として行動するからだ。

代表者の任命についてはEU加盟国の監督機関への通知義務は一切ないが、データ主体には代表者についての情報を提供する必要があり、監督機関も容易に知りうる状態にしておく必要もある。

4.b) 代表者の任命が免除される場合

この点についてガイドラインは単にGDPR第27条(2)を読むように、と言っているだけなので省略する。

4.c) 処理される個人データのデータ主体が存在するEU加盟国の事業所について

これについてもまず例示から見てみる。

例20 : EU域内に事業所がないがGDPR第3条(2)の適用対象となるインドの製薬会社が、ベルギー、ルクセンブルク、オランダの病院が行う治験の支援をしている。

このインドの製薬会社はデータ管理者としてEU域内のこれら3つの国のいずれかに代表者を任命しなければならないが、ベルギーの患者がいちばん多いので、ベルギーに代表者を任命するのが望ましい。ベルギーに任命した代表者は、オランダとルクセンブルクのデータ主体や監督機関が容易に連絡できるようにする必要がある。

つまり、代表者を任命するのは、EU加盟国のうちデータ処理の対象となるデータ主体がいる国でなければいけない。また、データ処理の対象となるデータ主体の相当数がいる加盟国であることが望ましいが、こちらは必須ではない。

4.d) 代表者の義務と責任

この最後の論点は例示がない。

代表者はデータ主体の権利の保護義務の責任そのものを負うのではなく、データ主体とデータ管理者・処理者の間のコミュニケーションをファシリテートする必要がある(だけである)。

あとはGDPR第27条(5)、第30条、Recital(80)が参照されているだけだが、要するに代表者は、EU域外にあるデータ管理者・処理者と、EU域内のデータ主体や監督機関の間で、言語の問題も含めて円滑なやり取りができるようにする役割を果たす必要があると書かれている。

代表者は任命されたEU加盟国の言語でコミュニケーションできる必要があり、データ管理者・処理者に対してGDPR上義務付けられていることに関して、データ主体や監督機関にスムーズに情報提供できる必要があるということだ。

当然だが、代表者が任命されていないからといって、データ管理者・処理者がGDPRに基づく訴訟などの法的措置から逃れられるわけではない。また、制裁金や処罰はデータ管理者・処理者に対してと同様、代表者に課せられる場合もある。

以上が「4.EU域内にないデータ管理者または処理者の代表者」についてのガイドラインだ。

これで23ページにわたるGDPRの地理的範囲についてのガイドラインの要約は終わり。

ここからは、純粋に個人的な感想を書いてみる。

ガイドライン自体に解釈の余地があるのはいつものことだし、そもそもガイドラインは適用逃れを防ぐためで、適用逃れの口実を与えるためではない。

それでも意外なのは「2.対象(targeting)に関する適用基準:第3条(2)」のb)にある「商品またはサービスの提供」の解釈に関する部分だ。

例えば原文のp.15~16に列挙されている「商品またはサービスの提供」に該当する事例は、筆者の個人的な解釈より狭く、GDPR第3条の適用対象はかなり限定されるように感じた。

例えば、商品もサービスも提供しておらず、単に日本語でブログを書いている個人が(GDPRは法人だけでなく自然人(個人)にも適用される)、Google AdSenseやAmazonの広告を埋め込んでいるだけで「GDPRのEU域外適用になる!!プライバシーノーティスを公開しなきゃ!!」と大慌てしているのは完全にナンセンスということになる。

逆に、実はナンセンスではなく、各種ネット広告を埋め込んでいるだけで、その広告を見る可能性のあるデータ主体の個人データを管理するデータ管理者と見なされるのであれば、「商品またはサービスの提供」という条件の方がほぼナンセンスになってしまう。

配信される広告が地域別に自動的に切り替わり、フランスから開けばフランス語の広告が表示され、ドイツから開けばドイツ語の広告が表示されるGoogleやAmazonなどのネット広告を埋め込んで「いない」個人ブログはほとんどいないだろう。

無償ブログサービスを使うと、ほとんどの場合、本人が望むと望まざるとにかかわらずブログサービス業者に強制的に広告を挿入される。

常識的に考えると「個人ブロガーがGDPR域外適用で大騒ぎするのは完全にナンセンス」の方が正解だろう。

もう一つ驚いたのは例13だ。

モナコに本社がある民間企業で、大部分の被雇用者がフランス、イタリアの居住者であっても、それらのデータ処理が人事管理であれば「商品またはサービスの提供」にあたらないので「GDPR第3条の適用対象ではない」と書いてある。

EU域内のデータ主体(自然人)に商品やサービスの提供をする事業が全く存在せず、EUの現地拠点に現地居住者の被雇用者がいる企業はかなりあるだろう。

(なお、EUのいわゆるePrivacy法の保護対象には自然人(個人)だけでなく法人も含まれるが、GDPRの保護対象は自然人(個人)だけである)

つまり、EU域内の個人ではなく、法人に商品やサービスの提供を行うために現地で従業員を雇用している企業で、現地従業員の人事管理のためのデータぐらいしか個人データがない場合は、GDPRの域外適用にならないということだ。

リテールをやっていないすべての金融機関、自ら小売りをやっていないすべての製造業、企業向けサービスのみを提供しているすべてのIT企業やコンサル会社、小売りをやっていないすべての商社などが、EU域内の事業所に人事管理用の個人データしかない場合は、GDPRの適用対象外になると読める。

仮にこの読解が正しいとすると、GDPRの域外適用除外になる日本企業は実はかなりあるのではないか。

では、個人ブログの事例や、EU域内で法人向け事業しか行っていない域外企業の人事管理の事例が、本当にGDPR域外適用の対象ではないのかは誰に確認すればいいのだろう。

このガイドラインを読むだけで、大部分の読者がこの2つの事例について「適用対象外だ」と明確な結論が出せなければ、このガイドラインに存在意義はない。

ガイドラインが役にたたなければ、GDPR違反と認定されたとき連帯責任を負うリスクを取ってくれる法律事務所やコンサルに、多額の費用を払ってGDPRの解釈を丸投げし、制裁金が課されないよう天に祈り続けるしかないことになる。

このガイドラインはじっくり読んだところで大して意味がないと分かっただけでも、このガイドラインをじっくり読む意味があったわけだ。

このガイドラインは、読んでも意味がないということを確認するためにこそ、読む意味がある。

皮肉なことだ。