第2回：新しい一般データ保護規則概説（2） - GDPRの適用範囲と執行制度

GDPRの適用範囲

GDPRは以下の管理者/処理者^*1に適応されます。

• （1）EU域内に拠点を持つ管理者/処理者
• （2）（国籍や居住地、どこから行動を監視されているかにかかわらず）EU域内に拠点を持たない企業で、かつEU域内の個人に商品・サービスを提供している管理者/処理者

GDPRがEU域内に拠点を持たない管理者/処理者にも適用されること、すなわち域外適用を正面から認めているところが、GDPRの特徴の一つです。

• （※1）「管理者/処理者」についての詳細は、第1回をご覧ください。
  https://www.iij.ad.jp/global/column/column44-2.html

（1）EU域内に拠点を持つ管理者または処理者

GDPRはEU域内に拠点を持つ管理者/処理者が個人データの処理を行う際に適用されます。「拠点」は安定的な取組みを通じた効果的かつ現実の活動の実行を意味します。安定的な取組みの法的な形式は判断要素とはなりません。支店、子会社、または一人だけの代表者のいずれも「拠点」に該当し得ます。

（2）EU域内に拠点を持たない管理者または処理者

GDPRは、（データ主体の国籍や居住地、管理者/処理者がどこから行動を監視しているかにかかわらず）EU域内に管理者/処理者が拠点を持たない場合であっても、EU域内に商品またはサービスを提供する場合に適用されます。管理者/処理者がEU域内に商品またはサービスを提供しているかどうかを判断するには、「管理者または処理者が、EU域内の一またはそれ以上の加盟国に所在するデータ主体に商品またはサービスを提供することを想定していることが明らかか否かを確認する」べきであるとされています。

GDPRにおいては、EU域内に所在する管理者/処理者または仲介者のウェブサイト、Eメールアドレスやその他の連絡先詳細にアクセスできることや、管理者が第三国で使われている言語を一般に使用している場合は、「EU内のデータ主体に商品またはサービスを提供する意図の存在を確認する」ための手段として不十分であるとされています。

反対にGDPRは、一またはそれ以上のEU加盟国で、一般的に使われる言語や通貨が使用され、さらにその言語で商品またはサービスが注文できること、およびEU域内に所在する顧客やユーザーについて言及があることなどの要因は、管理者がEU域内に対し商品やサービスの提供を想定していることを明らかにする可能性があるとしています。

GDPRの適用範囲は、前述したもの以外にはGDPRの適用範囲に関する具体例がGDPRの条文上明らかでないため、今後、第29条作業部会および/または欧州委員会が何らかのガイドラインを発表することが期待されます。

（3）EU代表者

上記（2）に当てはまる管理者/処理者、すなわちEU域内に拠点を持たない管理者/処理者であって、かつ「EU域内のデータ主体に商品またはサービスを提供している」と判断される者は、書面でEU域内における代表者（以下「EU代表者」といいます）を選任する必要があります。ただし、特別カテゴリーの個人データを大量に含む処理が不定期な場合、または個人の権利や自由を危険にさらす可能性が低い場合などはEU代表者の選任義務はありません。

EU代表者は、個人データが処理されるデータ主体が存在する加盟国のうちの一つにおいて、選任する必要があります。

EU代表者の選任義務に違反した場合には、企業グループの前事業年度の全世界年間売上高の2%以下または1,000万ユーロ以下のいずれか高い方の金額の制裁金が課せられる可能性があります。

EU代表者は、EU域内に拠点を持たない管理者/処理者を対象とした制度である関係で、EU域内に拠点を持たずEU法の規制に注意を払っていない中小企業にとって不意打ちとなる可能性があります。

また、EU域内に拠点を持たない管理者/処理者にとって、適任のEU代表者とは誰なのかという点も、EU代表者の選任義務を履行するうえで、重要になってきます。

EU代表者は、GDPRへの遵守を確実にする目的で、処理にかかわる一切の問題に取り組むために管理者/処理者によって委任される必要があるため、GDPRについてきちんとした知識を持ち、かつEU代表者の設置義務のある管理者/処理者からGDPRの遵守状況について事前にヒアリングを行う必要もあると考えられます。