日本語 English

モノリス法律事務所

弁護士法人 モノリス法律事務所03-6262-3248平日10:00-18:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

ホーム>法律記事 > IT・ベンチャーの企業法務>欧州連合一般データ保護規則(GDPR)第27条に基づくEU代理人選任義務の徹底解説

欧州連合一般データ保護規則(GDPR)第27条に基づくEU代理人選任義務の徹底解説

IT・ベンチャーの企業法務

現代のデジタル経済において、企業のビジネス活動は国境を越え、物理的な拠点の有無にかかわらず世界中に拡大しています。日本国内に本社を構える企業であっても、インターネットを通じて欧州連合(以下「本件国」または「EU」)の市場にアクセスし、物品やサービスを提供することは日常的な光景となりました。しかし、このグローバルな事業展開の裏側には、多くの日本企業が見落としがちな法的リスクが潜んでいます。それが、EU一般データ保護規則(GDPR)第27条に規定される「EU代理人(Representative)」の選任義務です。

日本の個人情報保護法(APPI)においても、外国事業者に対する域外適用規定は存在しますが、国内に代理人を選任することまでは義務付けられていません。この日本法との決定的な違いが誤解を生む原因となっています。「現地法人を置いていないから関係ない」「日本はEUから十分性認定を受けているから大丈夫」といった認識は、GDPR第27条の文脈においては致命的な誤りとなり得ます。実態として、GDPR第27条はEU域内に拠点を持たない域外企業こそを主要な対象としており、この義務を怠ったことによる巨額の制裁金事例も現実に発生しています。

本記事では、GDPR第27条が要請するEU代理人制度について、その法的根拠、適用要件、具体的な選任プロセス、そして違反時のリスクを網羅的に解説します。特に、欧州データ保護会議(EDPB)のガイドラインや、オランダやイタリアの監督機関による実際の摘発事例を分析し、条文の字面だけでは読み取れない実務上の運用基準を明らかにします。また、日本とEUの間の「十分性認定」がこの義務にどう影響するのかについても触れながら、日本企業が取るべき具体的なアクションを詳述します。

GDPRの域外適用と第27条の法的枠組み

GDPRの域外適用と第27条の法的枠組み

デジタル時代におけるGDPR地理的適用範囲の拡張

GDPRは、EU域内の個人の権利と自由を保護するための世界で最も厳格なデータ保護法制の一つですが、その最大の特徴は、EU域外の事業者に対しても強力な法的拘束力を持つ「域外適用(Extraterritorial Scope)」の原則を採用している点にあります。

GDPRの適用範囲を定める第3条は、以下の2つの基準を設けています。

  1. 拠点基準(Establishment Criterion 第3条第1項):管理者または処理者がEU域内に拠点を有し、その活動の文脈において個人データの処理が行われる場合。これは、日本企業がドイツやフランスに現地法人や支店を設立しているケースが該当します。
  2. ターゲット基準(Targeting Criterion 第3条第2項):管理者または処理者がEU域内に拠点を有していない場合であっても、以下の活動に関連してEU域内のデータ主体の個人データを処理する場合。
    • 物品またはサービスの提供:EU域内のデータ主体に対して、有償・無償を問わず、物品やサービスを提供する場合。
    • 行動の監視:EU域内で行われるデータ主体の行動を監視(モニタリング)する場合。

日本に本社を置き、EU域内にオフィスを持たない企業の多くは、この第2の「ターゲット基準」によってGDPRの適用を受けることになります。そして、このターゲット基準に該当する企業に対し、セットで課される義務が第27条の「EU代理人選任義務」なのです。

GDPR第27条が要請する「EU代理人」の法的性質

GDPR第27条第1項は、第3条第2項に基づいてGDPRが適用される管理者および処理者に対し、EU域内の「代理人(Representative)」を書面により指名することを義務付けています。この代理人制度の趣旨は、物理的にEU域外に存在する事業者と、EU域内の監督機関(DPA)やデータ主体(個人)との間の連絡チャネルを確保し、法の執行を実効あらしめることにあります。

ここで特に注意が必要なのは、この制度が日本の法制度には存在しない概念であるという点です。日本の個人情報保護法では、外国事業者に対しても報告徴収などの権限は及びますが、日本国内に「代理人」を設置する義務までは課されていません。そのため、日本企業は「自国法にない要件」として、この第27条を意識的に認識し、対応する必要があります。

EU代理人は、組織内部で独立した立場から助言や監視を行う「データ保護責任者(DPO)」とも異なります。DPOは内部統制機能の一部ですが、EU代理人は組織の「対外的な窓口」として、EU域内における法的なアンカー(留め具)としての役割を果たします。したがって、DPOを選任している場合であっても、EU域内に拠点がない限り、別途EU代理人の選任が必要となります。

GDPRにおいてEU代理人の選任が必要となる具体的ケースと要件分析

GDPR第27条の適用を受けるか否かの判断は、企業活動の実態に即して個別具体的に行われます。ここでは、欧州データ保護会議(EDPB)の「ガイドライン3/2018」に基づき、日本企業が該当しやすい具体的なケースを分析します。

物品またはサービスの提供(Offering of Goods or Services)

「物品またはサービスの提供」の要件において重要なのは、単にウェブサイトがEUから閲覧可能であるという事実だけでは不十分であり、事業者がEU域内のデータ主体に対してサービスを提供するという「明白な意図(intention)」が認められる必要があるという点です。

EDPBガイドラインは、この「意図」を判断するための要素として以下のような具体例を挙げています。

  • 言語の使用:自国の言語(日本語)以外の、EU加盟国で使用される言語(ドイツ語、フランス語、イタリア語、スペイン語など)を使用していること。英語については、国際的なビジネス言語でもあるため判断が分かれる場合がありますが、英国を除くEU加盟国(アイルランドやマルタなど)の公用語でもあるため、他の要素と組み合わせて意図が認定される可能性があります。
  • 通貨と決済:ユーロ(€)での価格表示や決済が可能であること。
  • 配送オプション:EU加盟国への配送が可能であることを明記していること。
  • マーケティング活動:EUの消費者を対象とした広告キャンペーンやSEO対策を行っていること。

例えば、日本のECサイトが英語ページを開設し、ユーロ決済やEUへの配送に対応している場合、EU市場への「意図」ありとみなされ、第27条に基づく代理人選任義務が発生します。

行動の監視(Monitoring of Behaviour)

「行動の監視」は、インターネットやデジタルデバイスを通じたデータ収集において、より広範に適用される基準です。これは、自然人がインターネット上で追跡され、その個人の嗜好、行動、態度などを分析・予測するためのプロファイリングが行われる場合を指します。

具体的には、以下の技術やサービスを提供する場合が該当します。

  • 行動ターゲティング広告:ウェブサイトやアプリにトラッキングCookieやピクセルタグを埋め込み、閲覧履歴や行動データを収集して、個人の興味関心に基づいた広告を配信する場合。
  • 位置情報サービス・アプリ:観光ガイドアプリなどが、EUを旅行中のユーザー(日本人旅行者を含む)のGPS情報を取得する場合。GDPRは「EU域内に所在するデータ主体」を保護対象とするため、国籍を問わず、EU滞在中の個人の行動監視は規制対象となります。

GDPR第27条第2項の例外規定とその限界

GDPR第27条第2項には、代理人選任義務の例外規定が存在しますが、その適用要件は極めて厳格です。以下の3つの条件をすべて(累積的に)満たす場合のみ、選任が免除されます。

  1. 処理が時折(Occasional)であること:定期的ではない、散発的な処理。
  2. 大規模なセンシティブデータを含まないこと:人種、信条、健康データなどの「特別な種類の個人データ」を含まないこと。
  3. リスクが低いこと:個人の権利自由にリスクをもたらす可能性が低いこと。

特に「時折(Occasional)」の要件が最大のハードルとなります。インターネットを通じてEU市場に常時アクセス可能な状態でビジネスを行っている場合、たとえ実際の取引頻度が低くても、データ処理の機会は常に開かれているため、「時折」の要件を満たすことは困難と解釈されています。したがって、越境ECやアプリ事業者は、事実上、例外規定の適用外であると考えるべきです。

GDPRの十分性認定と代理人義務の関係(誤解しやすいポイント)

日本はEUから「十分性認定(Adequacy Decision)」を受けています。これにより、日本企業はEU域内から個人データを特別な手続きなしに日本へ移転することが可能です。しかし、十分性認定は「データ移転」に関する枠組みであり、GDPR第27条の「代理人選任義務」を免除するものではありません。

多くの日本企業が「十分性認定があるからGDPR対応は完了している」と誤解しがちですが、十分性認定を受けている日本企業であっても、EU域内に拠点がない限り、第27条に基づく代理人の選任は依然として必須の義務です。この点を混同しないよう強く注意する必要があります。

欧州におけるGDPR執行事例の詳細分析

欧州における執行事例の詳細分析

EU代理人の未選任は、単なる形式的な不備ではなく、実際の制裁対象となる重大な違反です。

Locatefamily.com 事件(オランダデータ保護局)

2021年5月12日、オランダのデータ保護局(AP)は、ウェブサイト「Locatefamily.com」を運営する事業者に対し、GDPR第27条違反(EU代理人の未選任)を主たる理由として、52万5,000ユーロ(当時のレートで約7,000万円)の制裁金を科しました。

同サイトは世界中の個人の連絡先を掲載していましたが、EU域内に拠点を持たず、削除請求のための有効な窓口もありませんでした。

これは、代理人未選任という手続き的な違反に対し、高額な制裁金が科された事例です。さらにAPは、代理人を選任しない場合、2週間ごとに2万ユーロの追加ペナルティ(履行強制金)を課す命令も下しました。これは、EU当局が域外事業者に対しても厳格に法を執行する姿勢を示しています。

Clearview AI 事件(イタリアデータ保護局ほか)

顔認証技術を提供する米国企業Clearview AI社に対し、イタリア、フランスなどの監督機関が相次いで制裁金を科しましたが、ここでも第27条違反が違反事項として認定されています。

2022年2月10日、イタリアのデータ保護局は、Clearview AIに対し2,000万ユーロの制裁金を科しました。その理由の中で、第27条に基づくEU代理人の未選任が明確に違反事項として挙げられています。代理人の不在は、当局による調査の端緒となり得るだけでなく、データ主体の権利行使を妨害しているとみなされ、制裁金の額を押し上げる要因となります。

GDPRにおけるEU代理人の実務:選任から運用まで

実際に日本企業はどのようにしてEU代理人を選任し、運用していけばよいのでしょうか。実務的なステップを解説します。

代理人の要件と選定基準

GDPRは、EU代理人の資格について特別な免許(弁護士資格など)を要求していません。EU域内に所在する自然人または法人であれば代理人となることができます。しかし、高度な法的知識と語学力が求められるため、実務上は現地の法律事務所や専門の代理人サービスプロバイダーを起用するのが一般的です。

選定に際して考慮すべき要件は以下の通りです。

  1. 所在地の適切性:代理人は、データ主体が所在する加盟国の一つに拠点を置いている必要があります。複数の国でビジネスを展開している場合、最も多くのデータ主体がいる国、あるいは主要な活動拠点となる国に代理人を置くことが推奨されます。
  2. 言語能力:代理人は、現地の監督機関やデータ主体と円滑にコミュニケーションを取る必要があります。英語に加え、主要な展開国の言語に対応できる体制が望まれます。
  3. 利益相反の回避:DPOとEU代理人を同一人物・同一組織が兼任することは推奨されません。DPOには独立性が求められる一方、代理人は管理者の指示の下で行動する役割であり、利益相反が生じるためです。

契約と委任(Mandate)

代理人との間では、サービス契約に加えて、GDPR上の権限を付与する書面による委任状(Mandate)を取り交わす必要があります。この委任状には、代理人が管理者に代わって監督機関やデータ主体とやり取りする権限を持つこと、および第30条に基づく処理活動の記録を保持・提示する義務を負うことを明記します。

代理人の法的責任範囲

EU代理人を選任する際、「代理人が企業の代わりに罰金を受けるのか(身代わり責任)」という懸念が生じることがあります。GDPR前文80には「代理人は執行手続きの対象となるべき」との記述がありますが、近時の解釈や判例では、代理人の責任はあくまで代理人自身の義務(記録保持や協力義務)違反に限られ、管理者のGDPR違反全般について代理人が代位責任を負うものではないという考え方が主流です。ただし、当局からの連絡を無視した場合などは、代理人自身が処分の対象となるリスクがあるため、実質的な連絡体制の構築が不可欠です。

プライバシーポリシーへの記載と周知

代理人を選任した後は、速やかに自社のプライバシーポリシー(またはデータ保護方針)を改定し、代理人の氏名(または名称)および連絡先を明記して公表しなければなりません(GDPR第13条第1項(a)、第14条第1項(a))。

まとめ:GDPR第27条に基づくEU代理人の選任義務は弁護士に相談を

GDPR第27条に基づくEU代理人の選任は、EU市場に関与する日本企業にとって、避けて通ることのできない重要なコンプライアンス要件です。日本の個人情報保護法には類似の制度が存在しないため、多くの日本企業において対応が後手に回りがちですが、この義務の不履行は巨額の制裁金や社会的信用の毀損につながる直接的なリスク要因となります。

また、「十分性認定」はデータ移転の自由化を認めるものであっても、代理人選任義務を免除するものではないという点を正しく理解することが極めて重要です。現地法人を持たないからこそ、EU代理人という「架け橋」を設置し、EUの規制当局や市民に対して責任ある姿勢を示すことが求められています。

日本企業は、「時折」の例外規定に過度な期待を寄せることなく、適切な代理人を選任するという経営判断を下すべき時機にあります。それは単なるリスク回避策にとどまらず、プライバシー保護を重視するEU市場において、信頼されるビジネスパートナーとしての地位を確立するための戦略的な投資とも言えるでしょう。

当事務所による対策のご案内

モノリス法律事務所では、GDPRをはじめとする国際的なデータ保護規制への対応に関し、専門的な知見に基づいたリーガルサポートを提供しております。ビジネスモデルがGDPRの域外適用(第3条第2項)に該当するかどうかの法的診断から、信頼できるEU代理人プロバイダーの選定・紹介、代理人選任に伴う契約書のレビュー、そしてプライバシーポリシーの改定に至るまで、サポートいたします。

下記記事にて詳細を記載しております。

個人情報保護法関連

弁護士 河瀬 季

監修:弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

カテゴリー: IT・ベンチャーの企業法務

タグ:

シェアする:

関連記事

ネットショップ運営と法律 特定電子メール法・個人情報保護法

ネットショップ運営と法律 特定電子メール法・個人情報保護法

IT・ベンチャーの企業法務

破産者マップの個人情報が5ちゃんねるに!問題点と削除方法を解説

破産者マップの個人情報が5ちゃんねるに!問題点と削除方法を解説

風評被害対策

EUにおけるAI規制法の現状と展望は?日本企業への影響も解説

EUにおけるAI規制法の現状と展望は?日本企業への影響も解説

IT・ベンチャーの企業法務

GDPRに対応したプライバシーポリシーを作成する際のポイントを解説

GDPRに対応したプライバシーポリシーを作成する際のポイントを解.

IT・ベンチャーの企業法務

ドイツ等の欧州企業ガバナンスにおける二層型経営構造とは

ドイツ等の欧州企業ガバナンスにおける二層型経営構造とは

IT・ベンチャーの企業法務

EUの証券取引所連合であるユーロネクストの概要と上場基準の解説

EUの証券取引所連合であるユーロネクストの概要と上場基準の解説

IT・ベンチャーの企業法務

EUの薬機法制と医療機器・体外診断用医療機器規則(MDR/IVDR)

EUの薬機法制と医療機器・体外診断用医療機器規則(MDR/IVD.

IT・ベンチャーの企業法務

EUのAI規制法と日本企業にとって必要な対応とは

EUのAI規制法と日本企業にとって必要な対応とは

IT・ベンチャーの企業法務

爆サイ.comにおける個人情報流出にはどう対応すればよいか

爆サイ.comにおける個人情報流出にはどう対応すればよいか

風評被害対策


タグ

AI関連 EU IT・ベンチャー IT・ベンチャー:契約書 IT技術 Twitter YouTube YouTuber YouTuber:動画作成 インド共和国 システム開発 ビジネスモデルの適法化 ブロックチェーン プライバシー プロジェクトマネジメント マルタ共和国 介護事業 介護施設 仮想通貨 個人情報 個人情報保護法 労働問題(会社側・使用者側) 医事法関連 口コミ 名誉毀損 国際法務 契約書 投稿者の特定 損害賠償請求 景品表示法 暗号資産 暗号資産・ブロックチェーン:NFT 株式・増資 海外事業 知的財産権 著作権 薬機法 補助金・助成金 記事削除 誹謗中傷 請負契約 風評被害対策:サイト別 風評被害対策:企業 風評被害対策:内容別 風評被害対策:飲食業界

週間人気記事

TOPへ戻る