GDPRが域外適用される場合は?対応方法を解説
GDPRとは、EUが定める個人情報の保護やその取り扱いを定めた規則のことです。EU域内で商品やサービスを展開する場合、GDPRが適用される可能性があります。しかし、自社がGDPRの適用範囲に該当するかどうか、該当する場合どうすればいいかわからない方もいるでしょう。
本記事では、GDPRの適用範囲や適用された場合にすべきこと、求められる対応を解説します。GDPR適用に関するQ&Aもありますので、ぜひ参考にしてみてください。
この記事の目次
GDPRの適用範囲
GDPRが適用される条件は、GDPR第3条「地理的適用範囲」に規定されています。GDPRの適用範囲は、EU域内に拠点がある場合とない場合の2つにわかれます。
EU域内に拠点がある場合に規定されている内容は、以下の通りです。
「その取扱いがEU域内で行われるか否かにかかわらず、EU域内の管理者または処理者の拠点の活動の過程における個人データの取り扱いに適用される」
参考:個人情報保護委員会|「一般データ保護規則(GDPR)仮日本語訳」
つまり、EU域内に管理者もしくは処理者の拠点がある場合、GDPRが適用されるということを示しています。
| 管理者 | 個人データ処理の目的・手段を決定する者 |
| 処理者 | 管理者の代わりに個人データ処理を行う者 |
EU域内に拠点がない場合の適用範囲には、以下の2つがあげられています。
- EU域内の個人に対して商品またはサービスを提供している場合
- EU域内の個人の行動を監視している場合
GDPRは域内の諸外国に対して厳しい制限をかけており、データ移転を自由に行うためには「十分性認定」を必要としています。十分性認定とは、欧州委員会の協議を経て決定される認定のことで、個人データに関する十分な保護水準を確保している国や地域に認められるものです。
十分性認定がない国や地域は、EU域外へのデータ移転のためにSCCやBCRなどの手続きをしなければなりません。
| SCC(標準契約条項) | 情報移転契約に盛り込まなければならない必須事項 |
| BCR(拘束的企業準則) | 欧州経済領域(EEA)より取得された個人データを保護する方針・EEA域外の関連会社に共有する場合のルールを定めたもの |
十分性認定で変わるのは、SCCやBCRなどの手続きを踏む必要がない点です。
日本に対する十分性認定は、2018年7月の日EU定期首脳協議で個人データの移転の枠組みを運用可能にするための取り組みを進めていくことが発表されました。その後、2019年1月23日に十分性認定を受け、「EUと日本が個人データに関する保護レベルについて、相互に同等と認める決定を採択したことを歓迎する」との発表がありました。
GDPRが適用される企業は何をしなければならないのか
GDPRに適用される場合に、企業がしなければならないことには以下の2つがあげられます。
- EU/UK所在の代理人の選任
- プライバシーポリシーへの明記
ここでは、それぞれの詳細を解説します。
EU/UK所在の代理人の選任
GDPRの27条では、GDPRの域外適用がある場合に、EUもしくはUKに事業所のある代理人を指定する義務があるとしています。
ここでいう代理人とは、管理者もしくは処理者によって書面で指名され、GDPRに基づく管理者・処理者の義務に関して管理者・処理者を代理する者のことです。
EU域内で事業展開するすべての企業が代理人を指定しなければならないわけではありません。代理人の選任義務がない企業は、以下の場合です(GDPR第27条)。
- GDPRの適用される業務が一時的でなく、かつ、「特別な種類のデータ」「有罪判決および犯罪行為と関連する個人データの取り扱いを大量に含まない、かつ、その取り扱いの性質、過程、範囲及び目的を考慮し、自然人の権利または自由に対する危険が生ずる可能性が低い処理の場合
- 公的機関または公的組織でない場合
参考:個人情報保護委員会|「一般データ保護規則(GDPR)仮日本語訳」
プライバシーポリシーへの明記
GDPRが適用される企業は、プライバシーポリシーに代理人を指定していることを明記する必要があります。
代理人を選任しなかった時の罰則規定
GDPRの適用範囲であるのにもかかわらず、代理人を選任しなかった場合、罰則の対象となるため注意が必要です。罰則は、最大1,000ユーロ、または世界全体の売上の2%以下のいずれか大きい方の金額とされています(GDPR第84条第4項)。
代理人に求められる業務
GDPRの適用範囲に該当する場合は、原則として代理人を選任しなければなりません。では、代理人に求められる業務にはどのようなものがあるのでしょうか。ここでは、代理人の業務を詳しく解説します。
30条の記録処理
EU諸外国に代理人を置く管理者または処理者は、代理人に対して自らの処理記録を共有しなければなりません。また、代理人は管理者もしくは処理者と同様にその記録を保管することとされています(GDPR第30条)
記録しなければならない内容には、以下のようなものがあげられます。
- 管理者、DPO(データ保護オフィサー)などの名前および連絡先
- 取り扱いの目的
- データ主体の属性・取り扱うデータの種類
- 保存期間
- 削除時期
データ主体とは、識別されたまたは識別可能な自然人であり、個人データが関連する個人のことです。
監督機関からの要請があった場合には、これらの処理記録を利用できるようにしなければなりません。
データ主体または監督機関からの問い合わせ対応
データ主体、または監督機関から問い合わせがあった場合は、代理人が管理者または処理者の代わりとなりデータ主体・監督機関への対応を行う必要があるとされています(GDPR第27条第3項)。例えば、データ主体から要求を受けた場合は、管理者は1か月以内に情報を提供しなければなりません(GDPR第12条第3項)。また、代理人は監督機関からの要求に応じ、監督機関と協力する必要があるとされています(GDPR第31条)。
GDPRの適用に関するQ&A
GDPRの適用に関してよくある疑問について、以下で回答していきます。
海外展開する予定はないがGDPRへの対応は必要?
基本的に、海外展開する予定がない場合にはGDPRに対応する必要はありません。ただし、海外展開をしていなくても、EU域内の個人からデータを取得する可能性がある場合には注意が必要です。
例えば、以下のような場合が考えられます。
- ECサイトを運営しており、EU域内の個人から問い合わせまたは注文があった
- サイトの閲覧により、EU域内の個人のオンライン識別子(IPアドレスやCookieなど)を取得した
- EU域内の個人からの問い合わせへの返信でメールアドレスを取得した
意図せずEU域内の個人データを取得したとしても、地理的適用範囲に該当するわけではないため、GDPRに対応しなくても問題はありません。
あくまでも、EU域内に拠点がある場合、もしくはEU域内に拠点がなくても以下の2つに該当する場合には、GDPRに対応する必要があると覚えておきましょう。
- EU域内の個人に対して商品またはサービスを提供している場合
- EU域内の個人の行動を監視している場合
EU域内を対象に含む越境ECサイトを立ち上げる際に、必要な対応は?
EU域内を対象に含む越境ECサイトを立ち上げる場合には、EU域内の個人情報を取得する可能性があります。取得する情報には、以下のようなものがあげられます。
- 名前
- メールアドレス
- 住所
- クレジットカード情報
- 購入情報
- 位置情報
- IPアドレス・Cookie ID
これらの情報を取得する場合、GDPRで定められている個人データに該当するため、GDPRの規則に従って取り扱わなければなりません。
まずは、GDPRに対応したプライバシーポリシーの見直しやプライバシーノーティスの改訂・公表を行うとよいでしょう。
関連記事:GDPRに対応したプライバシーポリシーを作成する際のポイントを解説!
そのうえで、以下の手順を踏みましょう。
- Cookieポリシーの新設・ECサイト初回来訪者に対してCookie使用の同意を得る
- 個人情報を取得する場合は、「個人データの取り扱い」への同意を得る
- 個人データの保護・漏洩防止のためにセキュリティ対策を行う
- 代理人を選任する
また、必要に応じて社内ルールを見直し、GDPRに対応するためのマニュアル作成や外注先との契約内容の見直しなどを行いましょう。
GDPRとUK GDPR何が違うのでしょうか?
UK GDPRとは、イギリスの一般データ保護規則のことです。UK GDPRは、イギリスのEU離脱に伴い、2021年1月1日に施行されました。GDPRはEU規制であり、イギリスでは適用されません。
UK GDPRが適用されるのは、以下の場合です。
- 英国国内の個人に対して商品またはサービスを提供している場合
- 英国国内の個人の行動を監視している場合
イギリス、EU域内で事業を展開する場合は、GDPRとUK-GDPRどちらにも対応する必要があるといえます。
まとめ:GDPRの適用範囲でお困りのときは専門家へご相談を
EU域内に拠点がある場合、もしくはEU域内に拠点がなくても「EU域内の個人に対して商品やサービスを提供する」「個人の行動を監視している」場合は、GDPRの適用範囲に該当します。GDPRに適用される企業はEUに事業所のある代理人を認定しなければならず、プライバシーポリシーにその旨を明記する必要があります。
代理人を認定しないと多額の制裁金を支払わなければなりません。EU域内で事業展開をしている・今後進出を考えている企業はGDPRに対応すべく、代理人を認定しましょう。
自社がGDPRの適用範囲に該当するかがわからない場合には、国際法務に詳しい専門家に相談することをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、グローバルビジネスはますます拡大しており、専門家によるリーガルチェックの必要性はますます増加しています。当事務所では国際法務に関するソリューション提供を行っております。
モノリス法律事務所の取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
