月別アーカイブ: 2018年12月

日本のGDPR十分性、欧州データ保護会議の意見を受けた欧州議会の厳しい決議

恥ずかしながら下記の方のツイートで気づいたのだが、欧州データ保護会議(EDPB)の意見に対して、2018/12/10にすでに欧州議会(European Parliament)で決議がなされていたようだ。その内容がかなり厳しかったので、確認しておく。

日本の十分性認定については、EDPBの意見書をうけて欧州議会(European Parliament)で2018/12/11に、日欧間のEPA、経済的パートナーシップ合意、戦略的パートナシップ合意の決議とともに議論された。

こちらが2018/12/11の議事

議事のうちEPAについては、こちらにあるように2018/12/12に採択されている

日本のGDPR十分性認定については、こちらの文書が採択されている

この文書の結論として、日本のデータ保護の法的枠組みが、欧州のデータ保護の法的枠組みと本質的に同等な十分な保護レベルにあることを示すために、2018/12/05に欧州データ保護会議(EDPB)が指摘した点も含めて、欧州委員会(EC)にさらなるエビデンスと説明を要求している。

要するに、日本のGDPR十分性認定の手続きは、EPAとは別のテーマとして、まだ欧州委員会、欧州議会の間でまだ続くということだ。

エビデンスと説明が不十分だと言っているだけなので、却下されることはないと思われるが、この採択文書の第24項では、こちらの「THE UNTOLD STORY OF JAPAN’S SECRET SPY AGENCY」(The Intercept 2018/05/19)という記事が触れている、NHKの報道、『日本の諜報 スクープ 最高機密ファイル』(NHKスペシャル 2018/05/19初回放送)に対する懸念が含まれていたりする。

日本のGDPR十分性認定の草案に、無差別な大規模監視のことが言及さえされておらず、この大規模監視が欧州司法裁判所の過去の判例の基準を満たさないことについて「seriously worried」非常に懸念していると書かれている。

その他、この採択文書は相当数の論点にふれており、どうやら日本の十分性認定が採択されるまでの道のりは長そうだ。

欧州議会による日本のGDPR十分性認定草案に対するEDPB(欧州データ保護会議)意見書

2018/12/05にEDPB(欧州データ保護会議)がGDPRに関するEC(欧州議会)の日本の十分性認定についての意見書を公開した。41ページにわたる詳細な意見書で、すべて紹介するのは難しいので「EXECUTIVE SUMMARY」の部分だけ要約してみたい。

まず確認しておくべきはEDPBがどれだけECの十分性認定草案に意見をつけても、認定取消になることはないという点だ。改善すべき点が少なくないという意見書であり、十分性認定に反対するという意見書ではない。

では「EXECUTIVE SUMMARY」だけでも全242項目のうち30項目あるが、一つずつ見ていく。

1. 欧州議会が2018/09/05の十分性認定実施の正式な手続きを開始した。

2. 欧州議会が2018/09/25にEDPBに意見を求め、関連資料をEDPBに提出した。

3. 欧州議会がEDPBとの議論の結果、十分性認定草案を2回書き直し、2018/11/13最終版をEDPBに送付、この最終草案に対する意見書である。

4. EDPBが欧州議会の十分性認定の保護レベルにつき分析、検討を行った。
5. EDPBは十分性認定草案の商業的側面、行政的側面の両方を調査、日本の法的枠組みでの個人データ保護の有効性を評価した。

6. EDPBは2018/02の旧第29条作業部会(W29)の十分性認定に関する参照資料を主に参照した。

7. EDPBは日本の法的枠組みが欧州データ保護法制をコピーすることを期待していない。

8. しかし、個人データの正確性、収集データの最少化、保存期間の制限、データのセキュリティ、利用目的の制限、独立した監督機関である個人情報保護委員会など、主要な点でGDPRの原理原則との一致を求める。

9. 加えて、EDPBは日本が追加の補完的ルールによりギャップを埋めている努力を歓迎する。

10. EDPBは欧州議会がEDPBの懸念に応えて十分性認定の決定を強化している努力を歓迎する。

ここまでは事実の確認。いよいよここからがEDPBの意見になる。

全般的な課題

11. しかしながら、EDPBは日本の法体系において以下の重要な領域を強化し、注意深くモニタリングするよう提案する。
12. 第一の課題:既存の法的枠組みに対する「補完的ルール」という、十分性の新たな建付けで、具体的で有効な法執行の問題を生じないことを保証する必要がある。(要は、個人情報保護法そのものを改正するのでなく「補完的ルール」という対応で大丈夫か?ということ)
13. 第二の課題:EDPBは「補完的ルール」の法的強制力について欧州議会と日本は継続してモニタリングするよう繰り返し求めている。

商業利用に特化した課題

14. 十分性合意の商業的側面でEDPBは特定の懸念を持っており、説明を求めたい。

15. EDPBは「補完的ルール」が、APEC越境プライバシールールシステムによるEU個人データの第三国へのさらなる移転を除外していることを歓迎する。

16. 日本の法制度では、第三国への個人情報移転の法的基礎の一つは、日本の保護レベルを十分満たしていることとしているが、第三国の保護レベル評価の際に「補完的ルール」が含まれていないように見える。したがって日本に移転されたEU個人データが、さらに第三国へ移転される場合は、GDPRのデータ保護枠組みと同等とみなすことはできない。

17. 日本からさらに第三国へ移転される場合、EUの個人データ保護レベルが保証されるかどうかのモニタリングは欧州議会が代わって行うべきである。

18. さらに、同意と義務の透明性に懸念がある。日本の法制度でのデータ主体の同意は、同意取り下げの権利を含んでいない。また、データ主体に事前に情報提供がなされるか疑念がある。

19. 日本の補償システムはEUのデータ主体にとって容易にアクセスできるものではない。ヘルプラインは日本語しかない。個人情報法語委員会のウェブサイトの仲裁サービスの情報も英語版がない。FAQなど重要な情報も日本語しかない。EU域内のデータ主体には少なくとも英語のオンラインサービスがあるべき。

20. EDPBは十分性認定の草案のいくつかの点につきさらなる説明による確証を歓迎する。

21. 例えば、GDPRではデータ処理者の一つとみなされる「委託先(trustee)」が個人データ処理の目的や手段を決定、変更できるのか、あいまいである。

22. 民主主義社会においてデータ主体の権利(アクセス権、修正権、拒否権)の制限の必要性と、基本的人権の本質を尊重しているのかどうかに関する文書が不足している。

23. EUに移転された欧州個人データは、日本の法制度では3年間の記録義務を課しているが、「ライフサイクル」全体を通して有効な保護を受けられるのか、欧州議会が注意深くモニタリングするよう期待している。

行政機関によるEU個人データへのアクセスについての課題

24. 法執行や国家安全保障に関するEU個人データの取扱いについて、EDPBは追加説明を求める。

25. 法執行の分野では、EUのルールと同等のように見えるが、いくつかの法律や判例の翻訳が存在しないため、EU法と「本質的に等価」かどうか結論付けられない。

26. 国家安全保障の分野では、日本政府は自由にアクセス可能な情報源、または企業による自発的な情報開示を通じてのみ個人情報を入手するとしているが、EDPBは専門家やメディアがそれに対して懸念を示していることを知っている。行政機関による監督方法についてさらなる説明を歓迎する。

27. データ主体に対する補償方法について日本政府が追加したメカニズムを歓迎するが、新たなメカニズムが日本法における監督や補償の不足を完全に補っていない点を懸念している。新たなメカニズムがその不足を完全に補うよう、さらなる説明を歓迎する。

28. EDPBは今回の十分性認定がGDPR施行後初であり、今後の前例となる点を重視している。EU日本間の十分性認定による保護に何ら不足が無いよう、欧州議会は確保する必要がある。

29. 「補完的ルール」によってなされた改善は重要である。

30. しかしながら、欧州議会の十分性認定と日本の個人データ保護の枠組みについて、EDPBは少なくない懸念を持っており、さらなる説明が必要である。既存の国内法の枠組みに、限定的な規則を追加するという方式にも、法運用上の疑問がある。EDPBは欧州議会にこれら懸念に対するさらなる説明とエビデンスを要求する。また欧州議会が現行の十分性認定の草案にある4年に1回ではなく、2年に1回のレビューを実施するよう求める。

以上が「EXECUTIVE SUMMARY」の部分の要約である。

要するにEDPB(欧州データ保護会議)は以下のような点についてさらなる説明と対応を求めている。

・既存の法制度に対する「補完的ルール」という建付けで、本当に法的な実効性を担保できるのか?
・行政による法執行や国家安全保障に関して、本当に個人の基本的人権をベースにした個人データ保護は担保されるのか?
・少なくとも英語で、必要情報の入手や手続きができるようにすべき。

個人的には、2019/02に日欧EPAが発効する可能性が高いとされているので、同じタイミングで2年に1回のレビューという条件付きでEDPBも十分性認定草案の正式に採択するのではないかと思う。

GDPRの日本の十分性認定、欧州データ保護会議(EDPB)が欧州委員会(EU)に追加改善要請

2018/12/05にEDPB(欧州データ保護会議)が欧州議会から諮問をうけていた日本の十分性認定決定の草案についての意見を採択した。

‘European Data Protection Board – Fifth Plenary session: EU-Japan draft adequacy decision, DPIA lists (DK, HR, LU, and SI), and guidelines on accreditation’ (European Data Protection Board 2018/12/05)

全体が婉曲な表現で一回読んだだけでは理解しづらいが、「相当数の懸念が残っている(a number of concerns remain)」ためすんなり承認とはならなかったようだ。

以下、日本語試訳する。

EDPBメンバーはEDPBが2018年9月に欧州委員会から受領していた、EU~日本の十分性決定草案についての意見を採択した。EDPBは欧州委員会から入手した文書をもとに評価をおこなった。

EDPBの重要な目的は、日本の枠組みにおける個人データ保護の十分性のレベルについて、欧州委員会が十分な保証があることを確認しているかを評価することだ。

EDPBは欧州委員会と日本の個人情報保護委員会が、日本と欧州の法的枠組みを収れんさせるべく行った努力を歓迎する。2つの枠組みの間のいくつかの差異を橋渡しするために、「補完的ルール」を定めることで改善された点については、非常に重要であり、受け入れることができる。

しかしながら、欧州委員会の十分性草案と日本の個人情報保護枠組みについて、その後注意深く分析し、相当数の懸念が残っていることに気づいた。EUから日本に移転された個人情報の保護のライフサイクル全体などである。

EDPBは欧州委員会に対して、EDPBの求める明確な説明に対応するとともに、提起された問題点についてより踏み込んだ証拠と説明を提出するよう、また、実効性をもって実施されるかを注意深く監視するように勧めた。

EDPBはEU~日本の十分性決定が最高度の重要性をもつと考えている。GDPR実施後の最初の十分性決定として、これが前例になるためだ。

最初の1文「The Board Members adopted an opinion on the EU-Japan draft adequacy decision」が紛らわしいが、十分性決定(十分性認定)の草稿を採択した、のではなく、草稿に関する意見を採択しただけだ。

EDPB(欧州データ保護会議)が欧州委員会に対して正式な意見を提出しただけのことで、十分性決定の草稿そのものを採択したわけではない。

EDPBは、「相当数の懸念(a number of concerns)」があるとし、それについて欧州委員会に「より踏み込んだ証拠(further evidence)」や説明を求めている。とくに指摘事項になっているのは、EUから日本に移転された個人データのライフサイクル全体(throught their whole life cycle)での保護である。

EDPBは十分性認定の草稿を却下したわけではないが、日本側に追加対応を求めていることになる。

欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(3)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてガイドラインを公開した。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてご紹介しているが、地理的範囲のガイドラインに加えて「4.EU域内にないデータ管理者または処理者の代表者」のガイドラインも示されている。

EU域内に事業所のない企業・組織であっても第3条(2)で地理的範囲内と見なされ、GDPRの適用を受ける場合、EU域内に代表者を置く必要があるためだ。

このガイドラインについても一応要点だけ拾ってみる。

4.EU域内にないデータ管理者または処理者の代表者

このガイドラインは以下の4点が議論になっている。

a) 代表者の任命
b) 代表者の任命が免除される場合
c) 処理される個人データのデータ主体が存在するEU加盟国の事業所について
d) 代表者の義務と責任

4.a)代表者の任命

ここには代表者が満たすべき条件について書かれている。まず例示から。

例19 : 例12にあるウェブサイトは、トルコに拠点があり、家族写真のアルバムの制作、編集、印刷、発送を行っている。このウェブサイトは英語、フランス語、オランダ語、ドイツ語があり、ユーロまたはポンドで支払いができる。またこのウェブサイトは、英国、フランス、ベネルックス、ドイツにのみアルバムを郵送すると記載している。GDPR第3条(2)(a)により、このウェブサイトはGDPR適用対象となり、データ管理者はEU域内に代表者を任命しなければならない。

代表者はサービスを利用できるEU加盟国で任命しなければならない。このケースでは英国、フランス、ベルギー、オランダ、ルクセンブルク、ドイツのいずれかとなる。アルバム制作のサービスを開始すると同時に、データ主体が、データ管理者の名称と詳細な連絡先をオンラインで閲覧できるようにする必要がある。ウェブサイトには全般的なプライバシーノーティスも掲載する必要がある。

この例示は代表者をどの国に設置する必要があるかしか書かれていないが、代表者が満たすべき条件は他にも書かれている。

まず代表者は自然人(個人)でも法人でも良く、一人の代表者がEU域外の複数のデータ管理者、処理者を代表しても良い。その場合でも特定の人物が各データ管理者、処理者の主担当になるようにするのが望ましいが、必須ではない。

欧州データ保護会議は、代表者は社外DPO(Data Protection Officer)同等の役割を果たすべきと考えてはいない。DPOはデータ管理者から独立しており、その影響を受けないことが必要だが、代表者は逆にデータ管理者または処理者の指示にしたがって、その代表として行動するからだ。

代表者の任命についてはEU加盟国の監督機関への通知義務は一切ないが、データ主体には代表者についての情報を提供する必要があり、監督機関も容易に知りうる状態にしておく必要もある。

4.b) 代表者の任命が免除される場合

この点についてガイドラインは単にGDPR第27条(2)を読むように、と言っているだけなので省略する。

4.c) 処理される個人データのデータ主体が存在するEU加盟国の事業所について

これについてもまず例示から見てみる。

例20 : EU域内に事業所がないがGDPR第3条(2)の適用対象となるインドの製薬会社が、ベルギー、ルクセンブルク、オランダの病院が行う治験の支援をしている。

このインドの製薬会社はデータ管理者としてEU域内のこれら3つの国のいずれかに代表者を任命しなければならないが、ベルギーの患者がいちばん多いので、ベルギーに代表者を任命するのが望ましい。ベルギーに任命した代表者は、オランダとルクセンブルクのデータ主体や監督機関が容易に連絡できるようにする必要がある。

つまり、代表者を任命するのは、EU加盟国のうちデータ処理の対象となるデータ主体がいる国でなければいけない。また、データ処理の対象となるデータ主体の相当数がいる加盟国であることが望ましいが、こちらは必須ではない。

4.d) 代表者の義務と責任

この最後の論点は例示がない。

代表者はデータ主体の権利の保護義務の責任そのものを負うのではなく、データ主体とデータ管理者・処理者の間のコミュニケーションをファシリテートする必要がある(だけである)。

あとはGDPR第27条(5)、第30条、Recital(80)が参照されているだけだが、要するに代表者は、EU域外にあるデータ管理者・処理者と、EU域内のデータ主体や監督機関の間で、言語の問題も含めて円滑なやり取りができるようにする役割を果たす必要があると書かれている。

代表者は任命されたEU加盟国の言語でコミュニケーションできる必要があり、データ管理者・処理者に対してGDPR上義務付けられていることに関して、データ主体や監督機関にスムーズに情報提供できる必要があるということだ。

当然だが、代表者が任命されていないからといって、データ管理者・処理者がGDPRに基づく訴訟などの法的措置から逃れられるわけではない。また、制裁金や処罰はデータ管理者・処理者に対してと同様、代表者に課せられる場合もある。

以上が「4.EU域内にないデータ管理者または処理者の代表者」についてのガイドラインだ。

これで23ページにわたるGDPRの地理的範囲についてのガイドラインの要約は終わり。

ここからは、純粋に個人的な感想を書いてみる。

ガイドライン自体に解釈の余地があるのはいつものことだし、そもそもガイドラインは適用逃れを防ぐためで、適用逃れの口実を与えるためではない。

それでも意外なのは「2.対象(targeting)に関する適用基準:第3条(2)」のb)にある「商品またはサービスの提供」の解釈に関する部分だ。

例えば原文のp.15~16に列挙されている「商品またはサービスの提供」に該当する事例は、筆者の個人的な解釈より狭く、GDPR第3条の適用対象はかなり限定されるように感じた。

例えば、商品もサービスも提供しておらず、単に日本語でブログを書いている個人が(GDPRは法人だけでなく自然人(個人)にも適用される)、Google AdSenseやAmazonの広告を埋め込んでいるだけで「GDPRのEU域外適用になる!!プライバシーノーティスを公開しなきゃ!!」と大慌てしているのは完全にナンセンスということになる。

逆に、実はナンセンスではなく、各種ネット広告を埋め込んでいるだけで、その広告を見る可能性のあるデータ主体の個人データを管理するデータ管理者と見なされるのであれば、「商品またはサービスの提供」という条件の方がほぼナンセンスになってしまう。

配信される広告が地域別に自動的に切り替わり、フランスから開けばフランス語の広告が表示され、ドイツから開けばドイツ語の広告が表示されるGoogleやAmazonなどのネット広告を埋め込んで「いない」個人ブログはほとんどいないだろう。

無償ブログサービスを使うと、ほとんどの場合、本人が望むと望まざるとにかかわらずブログサービス業者に強制的に広告を挿入される。

常識的に考えると「個人ブロガーがGDPR域外適用で大騒ぎするのは完全にナンセンス」の方が正解だろう。

もう一つ驚いたのは例13だ。

モナコに本社がある民間企業で、大部分の被雇用者がフランス、イタリアの居住者であっても、それらのデータ処理が人事管理であれば「商品またはサービスの提供」にあたらないので「GDPR第3条の適用対象ではない」と書いてある。

EU域内のデータ主体(自然人)に商品やサービスの提供をする事業が全く存在せず、EUの現地拠点に現地居住者の被雇用者がいる企業はかなりあるだろう。

(なお、EUのいわゆるePrivacy法の保護対象には自然人(個人)だけでなく法人も含まれるが、GDPRの保護対象は自然人(個人)だけである)

つまり、EU域内の個人ではなく、法人に商品やサービスの提供を行うために現地で従業員を雇用している企業で、現地従業員の人事管理のためのデータぐらいしか個人データがない場合は、GDPRの域外適用にならないということだ。

リテールをやっていないすべての金融機関、自ら小売りをやっていないすべての製造業、企業向けサービスのみを提供しているすべてのIT企業やコンサル会社、小売りをやっていないすべての商社などが、EU域内の事業所に人事管理用の個人データしかない場合は、GDPRの適用対象外になると読める。

仮にこの読解が正しいとすると、GDPRの域外適用除外になる日本企業は実はかなりあるのではないか。

では、個人ブログの事例や、EU域内で法人向け事業しか行っていない域外企業の人事管理の事例が、本当にGDPR域外適用の対象ではないのかは誰に確認すればいいのだろう。

このガイドラインを読むだけで、大部分の読者がこの2つの事例について「適用対象外だ」と明確な結論が出せなければ、このガイドラインに存在意義はない。

ガイドラインが役にたたなければ、GDPR違反と認定されたとき連帯責任を負うリスクを取ってくれる法律事務所やコンサルに、多額の費用を払ってGDPRの解釈を丸投げし、制裁金が課されないよう天に祈り続けるしかないことになる。

このガイドラインはじっくり読んだところで大して意味がないと分かっただけでも、このガイドラインをじっくり読む意味があったわけだ。

このガイドラインは、読んでも意味がないということを確認するためにこそ、読む意味がある。

皮肉なことだ。

欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(2)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてガイドラインを公開した。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてみる。

「地理的範囲」について問題になるのは以下の3点。

1.事業所(establishment)に関する適用基準:GDPR第3条(1)
2.対象(targeting)に関する適用基準:GDPR第3条(2)
3.国際公法によりEU加盟国の国内法が適用される場合:GDPR第3条(3)

3つ目は直接関係ないと思われるので省略する。

この記事では(1)に続いて「2.対象(targeting)に関する適用基準:第3条(2)」を取り上げる。

2.対象(targeting)に関する適用基準:第3条(2)

ガイドラインのこの部分には、EU域内に事業所がなくても、第三国のデータ管理者やデータ処理者がGDPRの適用対象になりうること、いわゆる「域外適用」の基準について書かれている。

ちなみにガイドラインのこの部分は突然本筋から外れて、データ管理者やデータ処理者はGDPRだけでなく、EU域内各国の独自の個人データ保護法制にも注意を払うよう書かれている。国によってはGDPRより厳しい規定があるためだ。

さて、本筋に戻って「域外適用」の議論は以下の3つに分けられている。

a)考慮点1 : EU域内のデータ主体
b)考慮点2a : EU域内のデータ主体への商品またはサービスの提供、データ主体が支払いを要求されるか否かにかかわらず。
c)考慮点2b : データ主体の行動の監視

2.a)考慮点1 : EU域内のデータ主体

まず事例から見てみよう。

例8 : 米国のスタートアップがEU域内に事業拠点や事業所を全く持たず、旅行者に都市地図アプリを提供している。データ主体であるユーザが都市を訪れてアプリを使い始めると、このアプリは利用者の居場所に関する個人データを処理する。その目的は訪れた場所の観光地、レストラン、ホテルなどのターゲット広告を提供するためだ。アプリはニューヨーク、サンフランシスコ、トロント、ロンドン、パリ、ローマを訪れた旅行者が利用できる。

この米国のスタートアップは、都市地図アプリを通じて、EU域内(特にロンドン、パリ、ローマ)の個人にサービスを提供している。EUに所在するデータ主体の個人データを、サービス提供に関連づけて処理するため、GDPRの提供対象となる。

ここで重要なのは、単にEU域内の個人データを処理している事実だけではGDPR適用にならず、EU域内の個人を「対象とし(targeting)」、商品またはサービスを提供するか、その行動を監視している事実が必要な点だ。

例9 : ある米国市民が休暇に欧州を旅行した。欧州に滞在中、米国企業の提供するアプリをダウンロードして利用した。そのアプリは米国市場だけを対象としている。米国の旅行者の個人データを米国企業がアプリを通じて収集することは、GDPR適用対象にならない。

さらに注意すべきは、EU市民やEU居住者の個人データの処理が第三国で起こっているというだけではGDPR適用対象にならない点だ。さらにそのデータ処理がEU域内の個人に向けた明確な商品またはサービスの提供に関連しているか、EU域内個人の行動監視に関連していて初めてGDPR適用対象になる。

例8は、明確にEU域内の個人を対象としている(targeting)のでGDPRが適用される。

例9は、米国に旅行で滞在中の米国市民は、GDPRの定義上はEU域内のデータ主体となるが、このアプリは米国市場だけを対象としており、EU域内の個人を対象としていることが明確でないので、GDPR適用対象にならない、ということだ。

例10 : ある台湾の銀行に、台湾在住だがドイツ市民権を持つ顧客がいる。その銀行は台湾だけで事業活動を行っており、EU市場に向けた活動をしていない。その銀行がこのドイツ市民権を持つ顧客の個人データを処理することはGDPR適用対象にならない。

例11 : カナダ移民当局が、EU市民がビザ審査のためにカナダの領域に入ったとき、そのEU市民の個人データを処理している。この処理はGDPR適用対象にならない。

2.b)考慮点2a : EU域内のデータ主体への商品またはサービスの提供、データ主体が支払いを要求されるか否かにかかわらず。

ここではGDPRのRecital 23が議論されている。EU域内のデータ主体への商品またはサービスの提供と言えるためには、どういう条件が必要かという論点だ。

単にEU域内でデータ管理者やデータ処理者のウェブサイトが閲覧できる、というだけでは「商品またはサービスの提供」と言うには十分ではない。

EU各国で一般的に使われている言語や通貨をサポートしていることや、EU域内の顧客やユーザに直接的に言及していることなど、データ管理者の意図が明確なら十分となる。

ここでガイドラインは欧州司法裁判所の過去の判例を持ち出し、「EU域内のデータ主体への商品またはサービスの提供」の理解の助けになり、その判例にある以下の点を考慮に入れることができるとしている。

― EUまたは少なくともEUの1つの国が、商品やサービスと関連して名指しされている。
― データ管理者またはデータ処理者が、インターネット参照サービスの検索エンジン運営会社にお金を支払い、EU域内の消費者がそのウェブサイトにアクセスしやすいようにしている。またはデータ管理者またはデータ処理者が、EU市民に向けてマーケティングや広告キャンペーンを打ち出している。
― 旅行活動など、問題となる活動に国際的な性質がある。
― EU加盟国から連絡できる専用の住所や電話番号の言及がある。
― データ管理者やデータ処理者が設立されている第三国以外のトップレベルドメイン名を使っている。例えば”.de”や、”.eu”のような中立的なトップレベルドメイン名など。
― サービスが提供されている1つ以上のEU加盟国への旅行案内の記述がある。
― 様々なEU加盟国に住んでいる顧客からなる国際的な取引先について言及がある。
― 業者の所在国で一般的に使われている以外の言語または通貨を使っている。特にEU加盟国の1つ以上の国の言語または通過を使っている。
― データ処理者がEU加盟国への商品の発送を提供している。

これらの一つだけでは「EU域内のデータ主体への商品またはサービスの提供」に該当せず、いくつかを満たす必要がある。

やはり重要なのは、単にEU域内でデータ管理者、データ処理者、その中間業者のウェブサイトにアクセスできるだけでは該当せず、連絡先メールアドレスや住所、国コードの無い電話番号が書いてあるだけでは、十分な条件にならないという点だ。

例12 : トルコに拠点がありトルコで管理されているウェブサイトが、家族の写真アルバムの制作、編集、印刷、発送サービスを提供している。そのウェブサイトは英語、フランス語、オランダ語、ドイツ語で利用でき、ユーロとポンドで支払いができる。作成したアルバムは英国、フランス、ベネルックス、ドイツにのみ郵送できると書かれている。

この場合、家族の写真アルバムの制作、編集、印刷がEU法におけるサービスを構成していることは明白である。ウェブサイトでEUの4か国語が利用でき、EU加盟国のうち6か国に郵送できるという事実が、トルコのウェブサイト側にEUの個人にサービスを提供する意図があることを示している。

その結果、トルコのウェブサイトがデータ管理者として行うデータ処理が、EU域内のデータ主体に向けたサービスと関連しており、したがってGDPRの適用対象となる。

GDPR第27条にしたがって、データ管理者はEUに代表者を任命しなければならない。

例13 : モナコを拠点とする民間企業が給与の支払いのためにその社員の個人データを処理している。同社社員の大多数はフランスとイタリアの居住者である。

この場合、同社によって行われるデータ処理はフランスとイタリアのデータ主体に関わっているが、商品やサービスの提供という文脈で行われているのではない。たしかに第三国の企業による給与の支払いを含む人事管理は、GDPR第3条(2)aにあるサービスの提供とはみなされない。当該データ処理はEU域内のデータ主体への商品やサービスの提供に関連しておらず(また行動の監視にも関連しておらず)、結果としてGDPR第3条の適用対象ではない。

ただしこの評価は、関係する第三国の法律の適用を妨げるものではない。

例14 : チューリッヒにあるスイス大学が修士課程の選考プロセスを立ち上げ、志望者が履歴書と申請書を詳細な連絡先とともにアップロードできるオンライン・プラットフォームを作成した。この選考プロセスは十分なレベルのドイツ語と英語力があり、学士号をもつすべての学生に開かれている。同大学はEUの各大学に限定した広告をしておらず、スイス通貨での支払いしかできない。

修士課程の募集、選考プロセスにおいてEU域内の学生に対する区別や特定がないため、スイス大学はEU加盟国の学生を対象としている意図があることにはならない。十分なレベルのドイツ語と英語というのは、スイスの居住者であろうと、EU居住者であろうと、第三国の学生であろうと、すべての志望者に要求されている。EU加盟国の学生を特に対象としているその他の要素もないので、当該データ処理はEU域内のデータ主体に対する教育サービスの提供に関連しているとは言えず、したがってそのようなデータ処理はGDPRの適用対象にならない。

スイス大学は国際関係の夏期講習も提供しており、できるだけ多くの受講者をむかえるためドイツとオーストリアの大学で宣伝を行っている。この場合は、EU域内のデータ主体にサービスを提供するというスイス大学の意図は明らかであり、関連するデータ処理活動はGDPRの適用対象となる。

2.c)考慮点2b : データ主体の行動の監視

GDPR第3条(2)の適用対象となるもう一つのタイプの活動は、EU域内で起こるデータ主体の行動の監視だ。オンラインでEU域内個人のデータを収集あるいは分析すれば自動的に「監視」になるわけではないが、以下のような幅広い活動監視が含まれうる。

― ユーザの行動にもとづく広告配信
― 場所を特定する活動、とくにマーケティング目的のもの
― クッキーやその他フィンガープリンティングなどのトラッキング技術を利用したオンライントラッキング
― パーソナライズされた食事制限や健康分析のオンラインサービス
― 監視カメラ
― 個人のプロファイルにもとづく市場調査とその他の行動研究
― 個人の健康状態についての監視または定期的なレポーティング

例15 : 米国にあるマーケティング企業が、ショッピングセンター内のWiFiのトラッキングによって収集された顧客の動きの分析に基づいて、フランスにあるショッピングセンターの小売業レイアウトに助言を与えている。

WiFiのトラッキングによるショッピングセンター内での顧客の動きの分析は、個人の行動の監視に相当する。このケースでは、ショッピングセンターがフランスにあるため、データ主体の行動はEU域内で起こる。したがって当該マーケティング企業はデータ管理者としてGDPRの適用対象となる。

第27条にしたがって、データ管理者はEU域内に代表者を任命しなければならない。

例16 : EU域内に事業所のないカナダのアプリケーション開発会社が、EU域内のデータ主体の行動を監視している。したがってGDPRの適用対象となる。この開発会社はアプリの最適化とメンテナンスのために米国のデータ処理者を使っている。

このデータ処理に関連して、カナダのデータ管理者は適切なデータ処理者のみを使わなければいけないため、GDPRの定める義務を米国にあるデータ処理者との契約に反映する必要がある。

以上が「2.対象(targeting)に関する適用基準:第3条(2)」についてのガイドラインとなる。

「3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)」は関係する企業はあまりないと思われるため、2つの例示だけ日本語試訳しておく。

3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)

例17 : ジャマイカ・キングストンにあるオランダ領事館がその業務を支援するための現地スタッフ採用するためオンラインの応募プロセスを開設した。

ジャマイカ・キングストンにあるオランダ領事館はEU域内に設置されていないが、Eu加盟国を管轄する地位であり、国際公法上、EU加盟国の法律が適用されることから、その個人データ処理はGDPR第3条(3)の適用対象となる。

公海を航行するドイツのクルーズ船が航海中のエンタテインメントを乗船客に合わせて提供するために乗船客のデータを処理している。

この船はEU域外の公海に存在するが、ドイツで登録されているクルーズ船であることから、国際公法によりその個人データ処理はGDPR第3条(3)の適用対象となる。

以上が「3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)」となる。

ガイドラインには地理的範囲の解釈の他に、さらに「4.」として「EU域内にないデータ管理者または処理者の代表者」についても書かれている。

EU域内に事業所のない企業・組織であっても第3条(2)で地理的範囲内と見なされ、GDPRの適用を受ける場合、EU域内に代表者を置く必要があるためだ。

地理的範囲のガイドラインについての、さらに派生的なガイドラインになるが、いちおう次の記事でまとめておく。