欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(2)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてガイドラインを公開した。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてみる。

「地理的範囲」について問題になるのは以下の3点。

1.事業所(establishment)に関する適用基準:GDPR第3条(1)
2.対象(targeting)に関する適用基準:GDPR第3条(2)
3.国際公法によりEU加盟国の国内法が適用される場合:GDPR第3条(3)

3つ目は直接関係ないと思われるので省略する。

この記事では(1)に続いて「2.対象(targeting)に関する適用基準:第3条(2)」を取り上げる。

2.対象(targeting)に関する適用基準:第3条(2)

ガイドラインのこの部分には、EU域内に事業所がなくても、第三国のデータ管理者やデータ処理者がGDPRの適用対象になりうること、いわゆる「域外適用」の基準について書かれている。

ちなみにガイドラインのこの部分は突然本筋から外れて、データ管理者やデータ処理者はGDPRだけでなく、EU域内各国の独自の個人データ保護法制にも注意を払うよう書かれている。国によってはGDPRより厳しい規定があるためだ。

さて、本筋に戻って「域外適用」の議論は以下の3つに分けられている。

a)考慮点1 : EU域内のデータ主体
b)考慮点2a : EU域内のデータ主体への商品またはサービスの提供、データ主体が支払いを要求されるか否かにかかわらず。
c)考慮点2b : データ主体の行動の監視

2.a)考慮点1 : EU域内のデータ主体

まず事例から見てみよう。

例8 : 米国のスタートアップがEU域内に事業拠点や事業所を全く持たず、旅行者に都市地図アプリを提供している。データ主体であるユーザが都市を訪れてアプリを使い始めると、このアプリは利用者の居場所に関する個人データを処理する。その目的は訪れた場所の観光地、レストラン、ホテルなどのターゲット広告を提供するためだ。アプリはニューヨーク、サンフランシスコ、トロント、ロンドン、パリ、ローマを訪れた旅行者が利用できる。

この米国のスタートアップは、都市地図アプリを通じて、EU域内(特にロンドン、パリ、ローマ)の個人にサービスを提供している。EUに所在するデータ主体の個人データを、サービス提供に関連づけて処理するため、GDPRの提供対象となる。

ここで重要なのは、単にEU域内の個人データを処理している事実だけではGDPR適用にならず、EU域内の個人を「対象とし(targeting)」、商品またはサービスを提供するか、その行動を監視している事実が必要な点だ。

例9 : ある米国市民が休暇に欧州を旅行した。欧州に滞在中、米国企業の提供するアプリをダウンロードして利用した。そのアプリは米国市場だけを対象としている。米国の旅行者の個人データを米国企業がアプリを通じて収集することは、GDPR適用対象にならない。

さらに注意すべきは、EU市民やEU居住者の個人データの処理が第三国で起こっているというだけではGDPR適用対象にならない点だ。さらにそのデータ処理がEU域内の個人に向けた明確な商品またはサービスの提供に関連しているか、EU域内個人の行動監視に関連していて初めてGDPR適用対象になる。

例8は、明確にEU域内の個人を対象としている(targeting)のでGDPRが適用される。

例9は、米国に旅行で滞在中の米国市民は、GDPRの定義上はEU域内のデータ主体となるが、このアプリは米国市場だけを対象としており、EU域内の個人を対象としていることが明確でないので、GDPR適用対象にならない、ということだ。

例10 : ある台湾の銀行に、台湾在住だがドイツ市民権を持つ顧客がいる。その銀行は台湾だけで事業活動を行っており、EU市場に向けた活動をしていない。その銀行がこのドイツ市民権を持つ顧客の個人データを処理することはGDPR適用対象にならない。

例11 : カナダ移民当局が、EU市民がビザ審査のためにカナダの領域に入ったとき、そのEU市民の個人データを処理している。この処理はGDPR適用対象にならない。

2.b)考慮点2a : EU域内のデータ主体への商品またはサービスの提供、データ主体が支払いを要求されるか否かにかかわらず。

ここではGDPRのRecital 23が議論されている。EU域内のデータ主体への商品またはサービスの提供と言えるためには、どういう条件が必要かという論点だ。

単にEU域内でデータ管理者やデータ処理者のウェブサイトが閲覧できる、というだけでは「商品またはサービスの提供」と言うには十分ではない。

EU各国で一般的に使われている言語や通貨をサポートしていることや、EU域内の顧客やユーザに直接的に言及していることなど、データ管理者の意図が明確なら十分となる。

ここでガイドラインは欧州司法裁判所の過去の判例を持ち出し、「EU域内のデータ主体への商品またはサービスの提供」の理解の助けになり、その判例にある以下の点を考慮に入れることができるとしている。

― EUまたは少なくともEUの1つの国が、商品やサービスと関連して名指しされている。
― データ管理者またはデータ処理者が、インターネット参照サービスの検索エンジン運営会社にお金を支払い、EU域内の消費者がそのウェブサイトにアクセスしやすいようにしている。またはデータ管理者またはデータ処理者が、EU市民に向けてマーケティングや広告キャンペーンを打ち出している。
― 旅行活動など、問題となる活動に国際的な性質がある。
― EU加盟国から連絡できる専用の住所や電話番号の言及がある。
― データ管理者やデータ処理者が設立されている第三国以外のトップレベルドメイン名を使っている。例えば”.de”や、”.eu”のような中立的なトップレベルドメイン名など。
― サービスが提供されている1つ以上のEU加盟国への旅行案内の記述がある。
― 様々なEU加盟国に住んでいる顧客からなる国際的な取引先について言及がある。
― 業者の所在国で一般的に使われている以外の言語または通貨を使っている。特にEU加盟国の1つ以上の国の言語または通過を使っている。
― データ処理者がEU加盟国への商品の発送を提供している。

これらの一つだけでは「EU域内のデータ主体への商品またはサービスの提供」に該当せず、いくつかを満たす必要がある。

やはり重要なのは、単にEU域内でデータ管理者、データ処理者、その中間業者のウェブサイトにアクセスできるだけでは該当せず、連絡先メールアドレスや住所、国コードの無い電話番号が書いてあるだけでは、十分な条件にならないという点だ。

例12 : トルコに拠点がありトルコで管理されているウェブサイトが、家族の写真アルバムの制作、編集、印刷、発送サービスを提供している。そのウェブサイトは英語、フランス語、オランダ語、ドイツ語で利用でき、ユーロとポンドで支払いができる。作成したアルバムは英国、フランス、ベネルックス、ドイツにのみ郵送できると書かれている。

この場合、家族の写真アルバムの制作、編集、印刷がEU法におけるサービスを構成していることは明白である。ウェブサイトでEUの4か国語が利用でき、EU加盟国のうち6か国に郵送できるという事実が、トルコのウェブサイト側にEUの個人にサービスを提供する意図があることを示している。

その結果、トルコのウェブサイトがデータ管理者として行うデータ処理が、EU域内のデータ主体に向けたサービスと関連しており、したがってGDPRの適用対象となる。

GDPR第27条にしたがって、データ管理者はEUに代表者を任命しなければならない。

例13 : モナコを拠点とする民間企業が給与の支払いのためにその社員の個人データを処理している。同社社員の大多数はフランスとイタリアの居住者である。

この場合、同社によって行われるデータ処理はフランスとイタリアのデータ主体に関わっているが、商品やサービスの提供という文脈で行われているのではない。たしかに第三国の企業による給与の支払いを含む人事管理は、GDPR第3条(2)aにあるサービスの提供とはみなされない。当該データ処理はEU域内のデータ主体への商品やサービスの提供に関連しておらず(また行動の監視にも関連しておらず)、結果としてGDPR第3条の適用対象ではない。

ただしこの評価は、関係する第三国の法律の適用を妨げるものではない。

例14 : チューリッヒにあるスイス大学が修士課程の選考プロセスを立ち上げ、志望者が履歴書と申請書を詳細な連絡先とともにアップロードできるオンライン・プラットフォームを作成した。この選考プロセスは十分なレベルのドイツ語と英語力があり、学士号をもつすべての学生に開かれている。同大学はEUの各大学に限定した広告をしておらず、スイス通貨での支払いしかできない。

修士課程の募集、選考プロセスにおいてEU域内の学生に対する区別や特定がないため、スイス大学はEU加盟国の学生を対象としている意図があることにはならない。十分なレベルのドイツ語と英語というのは、スイスの居住者であろうと、EU居住者であろうと、第三国の学生であろうと、すべての志望者に要求されている。EU加盟国の学生を特に対象としているその他の要素もないので、当該データ処理はEU域内のデータ主体に対する教育サービスの提供に関連しているとは言えず、したがってそのようなデータ処理はGDPRの適用対象にならない。

スイス大学は国際関係の夏期講習も提供しており、できるだけ多くの受講者をむかえるためドイツとオーストリアの大学で宣伝を行っている。この場合は、EU域内のデータ主体にサービスを提供するというスイス大学の意図は明らかであり、関連するデータ処理活動はGDPRの適用対象となる。

2.c)考慮点2b : データ主体の行動の監視

GDPR第3条(2)の適用対象となるもう一つのタイプの活動は、EU域内で起こるデータ主体の行動の監視だ。オンラインでEU域内個人のデータを収集あるいは分析すれば自動的に「監視」になるわけではないが、以下のような幅広い活動監視が含まれうる。

― ユーザの行動にもとづく広告配信
― 場所を特定する活動、とくにマーケティング目的のもの
― クッキーやその他フィンガープリンティングなどのトラッキング技術を利用したオンライントラッキング
― パーソナライズされた食事制限や健康分析のオンラインサービス
― 監視カメラ
― 個人のプロファイルにもとづく市場調査とその他の行動研究
― 個人の健康状態についての監視または定期的なレポーティング

例15 : 米国にあるマーケティング企業が、ショッピングセンター内のWiFiのトラッキングによって収集された顧客の動きの分析に基づいて、フランスにあるショッピングセンターの小売業レイアウトに助言を与えている。

WiFiのトラッキングによるショッピングセンター内での顧客の動きの分析は、個人の行動の監視に相当する。このケースでは、ショッピングセンターがフランスにあるため、データ主体の行動はEU域内で起こる。したがって当該マーケティング企業はデータ管理者としてGDPRの適用対象となる。

第27条にしたがって、データ管理者はEU域内に代表者を任命しなければならない。

例16 : EU域内に事業所のないカナダのアプリケーション開発会社が、EU域内のデータ主体の行動を監視している。したがってGDPRの適用対象となる。この開発会社はアプリの最適化とメンテナンスのために米国のデータ処理者を使っている。

このデータ処理に関連して、カナダのデータ管理者は適切なデータ処理者のみを使わなければいけないため、GDPRの定める義務を米国にあるデータ処理者との契約に反映する必要がある。

以上が「2.対象(targeting)に関する適用基準:第3条(2)」についてのガイドラインとなる。

「3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)」は関係する企業はあまりないと思われるため、2つの例示だけ日本語試訳しておく。

3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)

例17 : ジャマイカ・キングストンにあるオランダ領事館がその業務を支援するための現地スタッフ採用するためオンラインの応募プロセスを開設した。

ジャマイカ・キングストンにあるオランダ領事館はEU域内に設置されていないが、Eu加盟国を管轄する地位であり、国際公法上、EU加盟国の法律が適用されることから、その個人データ処理はGDPR第3条(3)の適用対象となる。

公海を航行するドイツのクルーズ船が航海中のエンタテインメントを乗船客に合わせて提供するために乗船客のデータを処理している。

この船はEU域外の公海に存在するが、ドイツで登録されているクルーズ船であることから、国際公法によりその個人データ処理はGDPR第3条(3)の適用対象となる。

以上が「3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)」となる。

ガイドラインには地理的範囲の解釈の他に、さらに「4.」として「EU域内にないデータ管理者または処理者の代表者」についても書かれている。

EU域内に事業所のない企業・組織であっても第3条(2)で地理的範囲内と見なされ、GDPRの適用を受ける場合、EU域内に代表者を置く必要があるためだ。

地理的範囲のガイドラインについての、さらに派生的なガイドラインになるが、いちおう次の記事でまとめておく。

欧州データ保護会議のGDPR「地理的範囲」パブコメ用ガイドライン要約(1)

2018/11/23欧州データ保護会議がGDPR第3条「地理的範囲」についてパブリックコメント用ガイドラインを公開した。コメント募集期間は2018/11/23~2019/01/18。

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation (2018/11/23 欧州データ保護会議EDPB)

23ページあるガイドラインから要点をピックアップしてみる。

「地理的範囲」について問題になるのは以下の3点。

1.事業所(establishment)に関する適用基準:第3条(1)
2.対象(targeting)に関する適用基準:第3条(2)
3.国際公法によりEU加盟国の国内法が適用される場合:第3条(3)

3つ目は直接関係ないと思われるので省略する。

1.事業所(establishment)に関する適用基準:第3条(1)

事業所に関する適用基準の論点として以下の4点が挙げられている。それぞれガイドンラインに書かれている事例を読むのが近道と思われる。

a)「EU域内の事業所」の「EU域内」の解釈
b)「事業所の活動に関連して」なされる個人データの処理の「活動に関連して」の解釈
c)データ処理がEU域内で起こっているかどうかにかかわらず、EU域内のデータ管理者または処理者にGDPRが適用されることについて
d)「事業者」の解釈

1.a)「EU域内の事業所」の「EU域内」の解釈

まず1.a)「EU域内の事業所」の「EU域内」の解釈の事例。

例1 : 米国本社の自動車メーカーがブリュッセルに完全な管理下にある支店を持ち、マーケティングや広告を含め欧州の全業務を統括している。

このベルギー支社は自動車メーカーの経済活動の性質から実質的で実効的な活動を行っている安定した配置(arrangement)とみなせる。したがってベルギー支店はGDPRの意味するところで、EU域内の事業所とみなすことができる。

対象となる事例だけを見ても分かりづらいが、対象外となる事例も書かれている。

非EU企業がEU域内に事業所を持っているが、単に運営するWebサイトがEU域内でアクセスできるというだけでは対象に含まれない。

つまりEU域内で「real and effective activities(実質的で実効的な活動)」を行う事業所があれば、その事業所を統括する企業がEU域外にあっても、事業所の規模にかかわらず、非常に小さなものでも(even a minimal one)GDPRの適用対象ということだ。

では「real and effective」とはどういう意味なのかについては、このガイドラインにも書かれていない。

単にWebサイトがEU域内でアクセス可能なことは「real and effective activities」ではない。

ではEU域外の企業がEU域内でアクセスできるWebサイトを運営している場合、このWebサイトがどこまでの機能やサービスを提供していれば「real and effective」な活動をしていると見なされ、GDPR対象となるのか。

それは、1.b)「事業所の活動に関連して」なされる個人データの処理の「活動に関連して」の解釈の部分に書かれている。

1.b)「事業所の活動に関連して」の「活動に関連して」の解釈

b)はさらに次の2つの論点に分けられている。

i) EU域外のデータ管理者または処理者とEU域内の事業所の関係性
ii) EU域内の収益

1.b)i)EU域外のデータ管理者または処理者とEU域内の事業所の関係性について

EU域内の事業所が実際にいかなるデータ処理を行っていなくても、EU域外のデータ管理者または処理者とEU域内の事業所が「密接に(inextricably)」関連していればGDPRが適用される。

ではどの程度「密接に(inextricably)」関連していれば適用されるのかについては「事実についてケースバイケースの分析が密接な関連を示せば」とあり、結局ケースバイケースの判断になると書かれている。

1.b)ii) EU域内の収益について

EU域内の事業所がEU域内の活動が、域外のデータ管理者またはデータ処理者と「密接に関連する」と言える程度に収益をあげている場合は、GDPRの適用対象になるとある。

つまり収益基準は密接性基準で判断されることになり、収益基準自体に金額の基準があるわけではない。

そこで欧州データ保護会議は非EU企業や組織はデータ処理活動についてアセスメントを行うことを勧めている。

第一に、個人データが処理されているかどうか、第二に、個人データ処理の目的である活動とEU域内の組織の間に関連があるかどうか。関連があると確認できた場合は、その関連の質がGDPR適用対象となるかどうかの鍵になる。

ここで事例が出て来る。

例2 : 中国拠点のECサイトが、データ処理活動は完全に中国国内だけで行っているが、ベルリンに欧州オフィスを持ち、EU市場向けの市場予測やマーケティング・キャンペーンを主導的に行っている。

この場合、そのEU市場向けの市場予測やマーケティング・キャンペーンがECサイトの提供するサービスで収益をあげることに明白に貢献している限りにおいて、ベルリンにある欧州オフィスの活動は中国ECサイトによって行われる個人データ処理と密接に関連していると見なせる。したがって、この中国企業による個人データ処理は欧州オフィスの活動の文脈で行われていると見なせ、GDPR第3条(1)により適用対象となる。

この事例は当然すぎる。EU域内で収益をあげるためにECサイトを運営しているのだから、EU個人データ処理が中国国内に完全に限定されていてもGDPR対象になるのは当たり前だ。

例3 : 南アフリカのホテルリゾート・チェーンが、英語、ドイツ語、フランス語、スペイン語で利用できるウェブサイトでパッケージサービスを提供している。ただし同社はEU域内にオフィス、代表者、安定した配置(stable arrangement)を一つも持っていない。

この場合、EU域内に代表者や安定した配置が一つもないため、南アフリカのデータ管理者と関連したEU域内の事業所と見なせる会社は存在しない。したがって当該データ処理はGDPRの第3条(1)の対象にならない。

しかしながら、このEU域外のデータ管理者によって行われるデータ処理がGDPR第3条(2)に該当しないかを具体的に(in concreto)分析する必要がある。

この事例は、GDPR第3条(1)だけに基づけばこの南アフリカ企業はGDPR適用対象外だが、後述の第3条(2)に基づいて適用対象になるおそれがある、という意味だ。つまりこの例3はまだ結論が出ていない。

1.c)データ処理がEU域内で起こっているかどうかにかかわらず、EU域内のデータ管理者または処理者にGDPRが適用されることについて

これは事例から見てみる。

例4 : フランス企業がモロッコ、アルジェリア、チュニジアの顧客だけが利用できるカーシェアリングアプリを開発した。このサービスはこれら3か国のみで利用可能だが、全ての個人データ処理活動はフランスのデータ管理者で行われている。

個人データ収集は非EU国で起こっているが、この場合の個人データの後続の処理はEU域内のデータ管理者の活動の文脈で行われている。したがって非EUのデータ主体の個人データに関する処理であっても、このフランス企業が行うデータ処理にGDPR第3条(1)が適用される。

EU域外国籍のデータ主体や、EU域外居住のデータ主体の個人データ処理であっても、EU域内のデータ管理者が行っていればGDPRが適用されるということだ。

1.d)「事業者」の解釈

1.d)「事業者」の解釈についてもi)とii)に分かれている。

i) EU域内のデータ管理者がGDPR適用外のデータ処理者を使って行うデータ処理
ii) EU域内のデータ処理者の事業所の活動の文脈で行われるデータ処理

1.d)i)EU域内のデータ管理者がGDPR適用外のデータ処理者を使って行うデータ処理

GDPRが適用されるデータ管理者が、EU域外にありGDPRが適用されないデータ処理者を使う場合、GDPR第28条(3)にある契約または法的措置が必要になる。したがってGDPR適用外のデータ処理者もある程度までGDPRの義務を課せられる。

例6 : フィンランドの研究機関がサーミ人に関する調査を行った。同機関はロシアのサーミ人だけに関するプロジェクトを立ち上げた。このプロジェクトについて同機関はカナダにあるデータ処理者を使った。

GDPRは形式的にはカナダのデータ処理者に直接適用されないが、フィンランドのデータ管理者は、GDPRの要求を満たすようにデータを処理し、データ主体の権利を保護するよう、適切な措置を行う十分な保証を提供するデータ処理者のみを使うよう義務付けられている。フィンランドのデータ処理者はカナダのデータ処理者とデータ処理合意(data processing agreement)を締結する必要があり、データ処理者の義務は法的な行為の中で明記される。

これはいわゆるデータ管理者~EU域外データ処理者間のSCC(Standard Contractual Clauses)枠組みなどのことを指しており、問題ないだろう。

1.d)ii) EU域内のデータ処理者の事業所の活動の文脈で行われるデータ処理

ここではデータ管理者とデータ処理者の区別が書かれている。

例7 : スペインのデータ処理者が、顧客の個人データ処理のために、データ管理者であるメキシコの小売企業と契約を結んだ。メキシコの企業はそのサービスをメキシコ市場だけに提供しており、データ処理はEU域外のデータ主体のみに関わる。

このケースで、メキシコの小売企業は商品やサービスの提供を通じてEU域内の個人を対象としておらず、EU域内の個人の行動の監視も行っていない。したがってEU域外のデータ管理者によるデータ処理はGDPRが適用されない。

GDPRの規定はデータ管理者には適用されないが、データ処理者はスペインにある事業所として、それ自身の活動の文脈において行われるいかなるデータ処理についても、GDPRによって課される義務を果たす必要がある。

つまり、EU域内のデータ処理者が、EU域外のデータ管理者の単なる代理でデータ処理を行う場合でも、データ処理者はGDPRのデータ処理者に対する規定の適用を受けるということだ。

さらに、EU域内のデータ処理者は自身のデータ処理がEUやEU域内の各国法を遵守するようにしなければいけない。データ管理者からの指示がGDPRやEU域内の各国の国内法に違反する場合、データ管理者にただちにそのことを知らせる必要がある。

これはEU域内のデータ処理者が、域外のデータ管理者にとっての「データヘイヴン」にならないようにするためだと書かれている。

EU域内のデータ処理者が、意図的にEU域外のデータ管理者からデータ処理を委託された体にすることで、GDPRやEU域内の個人データ保護法制逃れをするのを防ぐためだ。

しかし、委託元のEU域外のデータ管理者には、EU域内のデータ処理者に委託したことを理由として、追加の義務が課せられることはない。では全くGDPRが適用されないのかというとそうではない。それはまだ先に書かれている。

以上で「1.事業所(establishment)に関する適用基準:第3条(1)」が終わった。

残りの「2.対象(targeting)に関する適用基準:第3条(2)」については別記事に書く。

個人的な感想を書けば、この時点ですでに論理展開が非常に複雑で、解釈が明確になるどころか、逆に理解が難しくなっている。しかも「case by case」の判断や自己アセスメントで決定する場合もあるとも書かれている。これでガイドラインと言えるのだろうか、という気はするが…。

PowerShellでRedmine REST APIにJSON形式でPOSTしてプロジェクトを新規作成する

PowerShellでRedmine REST APIにJSON形式でデータをPOSTしてプロジェクトを新規作成するとき、注意すべき事項は以下の2点。

・連想配列(ハッシュ)でPOSTするデータを用意するとき、プロジェクトの属性データ全体を”project”キーの値とした連想配列にする必要がある。
・連想配列(ハッシュ)をUTF8でエンコードする必要がある。
・APIアクセスキーを access_key をキーとしてデータに含める必要がある。

たとえば、作成したいプロジェクトの属性データは下記とします。


$data = @{
"name" = "テストのプロジェクト";
"identifier" = "testproject";
"description" = "";
"status" = 1;
"is_public" = "true";
"enabled_module_names" = @("issue_tracking", "time_tracking");
};

このデータを http://(ホスト名)/projects.json にPOSTしても422 Errorになります。

まずaccess_keyを追加する必要があります。


$data["access_key"] = "(APIアクセスキーの文字列)"

次に属性データ全体を project というキーの値にしてからPOSTする必要があります。


$postdata = @{"project" = $data}

さらにUTF8にエンコードする必要があるので。


$jsondata = ConvertTo-Json -InputObject $postdata
$jsonUTF8data = [System.Text.Encoding]::UTF8.GetBytes($jsondata)

この $jsonUTF8data をInvoke-RestMethodの-Bodyパラメータに設定します。


Invoke-RestMethod -Uri $postURI -Method POST -ContentType "application/json" -Body $jsonUTF8data -Credential $cred

これでようやく422 Errorが解消します。

GDPRの日本に対する「相互的十分性認定」は実際は「不十分」かつ「片務的」のように見える:個人情報保護委員会のパブコメへの回答から

欧州個人データ保護規則(GDPR)について、日本が欧州から欧州個人データの域外移転について十分性認定を受け、今年2018年中には正式に発効する。

その十分性認定を受けることができたのは、日本の個人情報保護委員会が、既存の個人情報保護法への補完的ルールとして「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」)を制定、パブリックコメント募集を経て正式に発効させたことだ。

しかも今回の十分性認定は「相互的 mutual」なもので、欧州個人データを欧州から日本へ「without being subject to any further safeguards or authorisations(何らこれ以上の安全措置や認証を条件とすることなく)」(‘Questions & Answers on the Japan adequacy decision’ 2018/07/17 欧州委員会)域外移転できると同時に、日本から日本の個人データを欧州へ域外移転できることになった。

・・・はずである。

「相互的」とは普通に理解すればそういうことで、欧州委員会も「this is the first time the EU and a third country agreed on a reciprocal recognition of the adequate level of data protection(EUと第三国が個人データ保護の十分性レベルの相互認証に合意した最初の事例である)」と、わざわざこの実績を誇っている(‘Questions & Answers on the Japan adequacy decision’(欧州委員会 2018/07/17))。

ところが、日本の個人情報保護委員会が上記、補完的ルールのパブコメで集まった意見に対するオフィシャルな回答をつけた『「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集結果』(2018/08/24)を読むと、がく然とする。

日本政府側は「相互的」ということについて対応する気がないらしいからだ。

この「意見募集結果」にある個人情報保護委員会の回答に何度も出てくる次の決まり文句が、それを雄弁に物語っている。

本案は、EU 域内から十分性認定に基づき日本国内に移転した個人に関する情報の取扱いについて適用されるものであり、それ以外の情報に適用されるものではありません。

今回の十分性認定は「相互的」であるが、にもかかわらず個人情報保護委員会が、欧州へ移転された日本の個人のデータの取扱いについて補完的ルールをいっさい示していないし、欧州に補完的ルールの制定を求めてもいない。つまり、個人情報保護委員会は現行の個人情報保護法で良いと考えていることになる。

しかしGDPRと個人情報保護法を比べると、明らかにGDPRの方が厳しい。

ということは、個人情報保護委員会は欧州個人データより自国民の個人情報の方がゆるく扱われても構わないと宣言しているようなものだ。

このことは「意見募集結果」に何度も登場する次の決まり文句が明確に示している。

当委員会は、EU の GDPR の各種規定に関する解釈権限を有していないため、GDPR の解釈についての回答は差し控えさせていただきます。また、当委員会では、引き続き、GDPR の制度概要及び本案の内容について、情報発信と周知広報に努めてまいります。

日本政府(個人情報保護委員会)は今回の十分性認定が「相互的」であるにもかかわらず、GDPRの解釈を欧州に丸投げしている。

このことは、欧州個人データが日本へ移転された場合は、GDPRに沿った補完的ルールで対応するが、日本の個人データが欧州へ移転された場合は、GDPRに沿ってどう取り扱われるかは感知しない、と言っているのと同じことだ。

そうでないというなら、日本政府はGDPRの解釈について回答できる必要がある。それができず欧州側に丸投げでは「平等」で「相互的」な十分性認定とは言えない。

このことに理不尽さを感じる日本の企業や組織がなぜ現れないのだろうか?

個人ブログ運営者がGDPR(欧州一般データ保護規則)に大騒ぎしている愚かさ加減

日本語の個人ブログ運用者が、Google Analyticsで閲覧者をトラッキングしているというので、手間をかけてGDPR(EU一般データ保護規則)対応しているが、物事の発生確率について常識的に考えよう。

GDPR違反に制裁金(administrative fines)を課すかどうかはEU各国にある監督機関(supervisory authority)が執行権を持つ。

世界中に無数にある個人ウェブサイトから、あなたのブログを狙い撃ちして、わざわざあなたに英語で少なくない分量の質問書を送信し、状況を詳細に調査し、制裁金を課すべきかどうか、課す場合には金額をいくらにするかを決めるために、あなたと何往復もやり取りすると、あなたは本気で信じているのだろうか。

監督機関は、そんなにヒマではない。

ご自身のブログがEUの監督機関に狙い撃ちされるのを心配して手間をかけるくらいなら、あなたの日常生活にはもっと心配する価値があり、もっと手間を掛ける必要のあることが山ほどあるはずだ。

EUの監督機関が調査するとすれば、最優先なのはEEA域内で一般的に使われている言語および通貨で、EEA域内の自然人に商品やサービスを提供するウェブサイトのうち、多額の制裁金を徴収できそうな大企業だ。

そこから規模やプライバシー侵害リスクの大きそうなウェブサイトで優先順位付けして調査して行くとして、それだけでも何年かかるか分からない。

日本は今年2018年中には欧州委員会から正式に個人データ域外移転に関する十分性認定を受けられる見込みだ。米国の保護貿易傾斜に対抗して欧州が日本とのEPAを急いだおかげの「棚ぼた」で、日本の十分性認定が前倒しになったためだ。

十分性認定を受ければ「何ら追加の安全措置の必要なく」欧州個人データを日本へ移転できる。

結果、あなたが心配すべきことは、あなたのブログが日本の国内法である個人情報保護法を遵守しているかどうかだ。

ところであなたは自分のブログのコメント欄やアンケートフォーム、Google Analyticsで収集している日本人の個人情報が、日本の個人情報保護法に違反していないかを真剣に考えたことがあるだろうか。

単なる一個人が自分のブログについて「GDPRだ!大変だ!」というこの空騒ぎは、いつになったら終わるんだろう。

追記)

ちなみにGDPRのRecital 23では、欧州の個人に商品またはサービスを有償無償にかかわらず提供している場合は、欧州域外の個人や企業にもGDPRはたしかに適用される。

しかし適用されるかどうかの判断基準も書かれており、欧州域内で一般的に使われている言語、または、通貨が使われており、明らかに欧州域内の個人向けだと分かる場合のみに適用される。

したがってRecital 23を読む限りでは日本語の個人ブログはGDPR適用外となる。

ただし、Recital 24に域外適用のもう一つの場合が書かれており、欧州域内個人の欧州域内での行動をモニタリング(monitoring)する場合は域外適用される。

しかしながら、何がモニター(monitor)にあたるかの判断基準も書かれている。欧州域内個人のインターネット上の行動を追跡し、欧州域内個人のプロファイリングをする場合、特に、その個人に関する特定の意思決定や、その個人の嗜好、行動、意見を分析・予測する場合にモニタリングとみなされる。

Google AnalyticsやAdsenseのCookieを心配している個人ブロガーの皆さんは、このRecital 24の域外適用のことを言っている。

書かれているとおり、単にCookieを収集するだけで放置している場合はモニタリングに当たらず、GDPR適用外となる。どうしても心配ならGoogle AlanyticsやAdsenseに限らず、アクセス分析やネット広告サービスはすべて削除する必要がある。

またグローバルIPで欧州からのアクセスを遮断すればよいという記事もたまに見かけるが、GDPRの条文のどこにも、グローバルIPで欧州からのアクセスを遮断しさえすればGDPRの域外適用を免除されるとは書かれていない。

その個人が欧州域内かどうかはインターネット上の技術で決まるわけではなく、物理的に、実際に、欧州域内に存在するかどうかで決まる、としかGDPRには書かれていない。

たとえば、欧州域内の個人がVPNを使って欧州域外の国のグローバルIPからアクセスしてきた場合も、欧州域内の個人がアクセスしてきたことになる。

グローバルIPだけで欧州かどうかを判断する方法ではGDPR適用を逃れることはできない。

また、個人でブログを運営する場合、技術力のある方々は自力でWordpressにプラグインを入れるなどの対応で、Cookie取得についてユーザの事前同意を取ることはできるだろう。

しかしITの知識がほぼない方々が、手軽に始められるブログサービスに乗っかって、そのサービスが自動でアクセス数集計をしてくれるとか、コメント欄があるとか、アンケート機能があるというケースの方が多いはずだ。たとえばアメブロのユーザなど。

個人ブログの運営者で必死になってCookie対策やグローバルIP制限(上述のようにこれは対策にならない)をしている方々は、欧州の監督機関が、例えばすべてのアメブロユーザを摘発しに来るというような事態を本気で信じているのだろうか。