GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(14) – 地理的適用範囲(2)

 

今回から「地理的適用範囲ガイドライン」の概要を解説していきます。

【目  次】

Q1: 「地理的適用範囲ガイドライン」とは?

Q2: GDPR第3条第1項に定めるEU域内の「拠点」とは?

Q3: EU域内の「拠点」に関するガイドラインの内容は?

Q4: EU域内の「拠点」に関する判断の具体例を示して下さい。

Q5: EU域内の拠点の活動に「関して」(in the context of )行われる個人データの処理とは?

Q6: EU域内の拠点の活動に「関して」についての判断の具体例を示して下さい。

Q7: 「処理がEU域内で行われるか否かを問わず」とは?

Q1: 「地理的適用範囲ガイドライン」とは?

A1: GDPR第3条(GDPRの地理的適用範囲)に関し、GDPRの執行を担うEU加盟国の監督機関の連合体である欧州データ保護会議(The European Data Protection Board)(EDPB)(WP29の後継組織)2020年1月7日に公表したガイドラインです。

正式名称は”Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version 2.1”(最終版)です。

(参考) 日本の個人情報保護委員会(「PPC」)による英文併記の和訳 (以下「PPC訳」という)

page top

Q2: GDPR第3条第1項に定めるEU域内の「拠点」とは?

A2: GDPR前文22によれば、「拠点」(establishment)[の活動]とは、安定的な仕組み(stable arrangements)により行われる実際かつ現実の活動(effective and real exercise of activity)を意味し、支店、子企業その他法的形態を問わないとされています。従って、本社・本店は勿論、支社、駐在員事務所等も含まれることになります。[「実際かつ現実の」とは単なる法的・契約的な仕組みではなく物理的にEU域内に何らかの施設・人がある(いる)こと等を意味すると思われる]([  ]は筆者の補足。以下同じ)

【解 説】

GDPR第3条第1項は、「その処理がEU域内で行われるか否かを問わず、管理者または処理者のEU域内の拠点(an establishment)の活動(the activities)に関して(in the context of)行われる個人データの処理に適用される」と定めています。

従って、GDPR第3条第1項により、ある個人データの処理にGDPRが適用されるかを判断するには先ずこの「EU域内の拠点」(establishment)とは如何なる意味かを確定しなければなりません。

page top

Q3: EU域内の「拠点」に関するガイドラインの内容は?

A3: 以下の通りです。(ガイドラインの記載は分かりにくいので筆者が理解した内容を適宜補足等した上その要旨を記します。以下同じ)

EU域外に本拠地がある企業がEU域内に拠点を有していると言えるか否かは、[当該企業がEU域内に有する]「仕組み」(arrangements)の安定性とその仕組みを通じ行われるEU域内での実際の活動を検討した上で判断しなければならない。

管理者の事業の中心がオンラインサービスの場合従業員1名または代理人1名のみであっても「安定的な仕組み」[と認定されEU域内の拠点]に該当する可能性がある。[「安定的」とは一時的ではなく継続的に活動する、との意味と思われる]

一方、EU域内からEU域外の企業のWebサイトを閲覧できるだけでは、その企業がEU域内に「拠点」を有していることにはならない

page top

Q4: EU域内の「拠点」に関する判断の具体例を示して下さい。

A4: 以下にガイドラインに示されている例を示します。(「例1」の「1」はガイドラインの番号。以下同じ)

 

【例1】 米国本社の自動車メーカーが、マーケティング、広告等を含め、ブリュッセルに欧州内での全活動を統括管理する支店を有している場合

このブリュッセル支店は、米国メーカーの事業活動にとり「実際かつ現実の活動を行っている安定的な仕組み」に該当し、GDPR上、米国メーカーのEU域内の「拠点」であると言える。

page top

Q5: EU域内の拠点の活動に「関して」(in the context of)行われる個人データの処理とは?

A5: 以下はガイドラインに記載されていることの要旨です。

個人データの処理がEU域内の拠点「により」(by)行われる必要はない

EU域外で設立されている(established)[その設立準拠法のある地や本社等がEU域内にはないという意味と解される(その理由は前回注3参照)]企業(管理者または処理者)がEU域内のデータ主体の個人データを処理している場合、当該管理者または処理者による個人データ処理とEU域内の拠点の活動との間に「切り離せない程の結び付きがある」(inextricably linked)[1]ときは、EU域内の拠点が当該処理に何らの役割も果たしていなくても、当該処理はEU域内の拠点の活動に「関して」行われている(従ってGDPRの適用を受ける)と言える。

EU域外の管理者または処理者による個人データの処理は、EU域内の拠点による収益活動(Revenue-raising)と「切り離せない程の結び付きがある」場合、「EU域内の拠点の活動に関し」行われていると認定される(従ってGDPRの適用を受ける)可能性が高い

page top

Q6: EU域内の拠点の活動に「関して」についての判断の具体例を示して下さい。

A6: 以下にガイドラインに示されている例を示します。

(3条1項に該当する例)

【例2】 中国本拠の企業の通販サイトが、EU市場向けマーケティングのため欧州事務所を置いている場合個人データの処理は全て中国国内で行っている):

欧州事務所によるマーケティングが、この中国本拠の企業の通販サイトが収益を上げることに役立っている場合、中国国内で行われている個人データの処理は、ベルリン事務所の活動と切り離せない程結び付いている(inextricably linked)と言える。

従って、中国企業による中国国内での個人データの処理は、「管理者(中国企業)のEU域内の拠点(ベルリン事務所)の活動に関して行われる個人データの処理」であるから第3条第1項によりGDPRの直接適用を受ける

[従来、GDPRの域外適用は3条2項を中心に議論されていましたが、上記例のような場合、日本企業を含めEU域外の企業も3条1項(または3条1項と同2項の重複適用)によりGDPRの域外適用を受け得ることになります]

(3条1項に該当しない例)

【例3】 EU域内に拠点を有しない南アフリカのホテル・リゾート企業が、Webサイト(英・独・仏・スペイン語で表示)を通じパッケージ商品を販売している場合

EU域内に拠点を有していない以上第3条第1項には該当しない但し、第3条第2項(a)に該当し、結局GDPRの直接適用を受ける。

page top

Q7: 「処理がEU域内で行われるか否かを問わず」とは?

A7: 以下にガイドラインに示されている例を示します。

 

【例4】 仏企業がモロッコ、アルジェリアおよびチュニジアでのみ利用できるカーシェアリング・サービスを行っている場合(個人データの処理も全てこの仏企業が行っている):

個人データの取得はモロッコ等EU域外で行われているが、取得後の処理は、仏企業(EU域内の拠点)が自己の活動に関して行われている。従って、この処理は、EU域外のデータ主体の個人データの処理であるが、「管理者(仏企業)のEU域内の拠点(同企業の仏国内事業所)の活動に関して行われる個人データの処理」であり、第3条第1項に該当する。

 

 

【例5】 ストックホルムに本社がある製薬メーカーが、治験データに関する個人データの処理をシンガポール支店に行わせている場合(この処理の目的および方法は本社が決定):

これは、スウェーデン企業(EU域内の拠点)が自己の活動に関し行う個人データの処理であり実際の処理がシンガポールで行われていても第3条第1項に該当しGDPRが適用される。

上記の通り、第3条第1項は、処理が実際に行われる場所およびデータ主体の居住地・国籍を問わず適用されます。

 

今回はここまでです。次回以降も引き続き「地理的適用範囲ガイドライン」の概要を解説していきます。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【著者GDPR・Cookie規制関連本】

GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制」 2019年11月

 

【著者の最近のプライバシー関連著作】

NEW!! Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

NEW!! プライバシーシールド(米国への十分性認定)無効判決の概要と影響 ~ EU司法裁判所Schrems II事件判決 ~」 企業法務ナビ,  2020/07/31

NEW!! カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」 『国際商事法務』 2020年8月号

カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 –」 『国際商事法務』 2020年6月号

カリフォルニア州消費者プライバシー法(CCPA)の論点 – 個人情報の「販売」とCookie・オンライン広告規制 –」 『国際商事法務』 2020年4月号

個人情報保護法改正案の概要と企業実務への影響」 企業法務ナビ

​「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

 

[2]

                                 

【注】

[1] 【「切り離せない程の結び付きがある」との訳】 この”inextricably linked”が「密接に」結び付いていると訳されている例が多い。しかし、単に「密接に」という意味であれば、より一般的な言葉である”closely”があるのにあえて”inextricably”という言葉が使われている。また、「密接な」との訳では、その密接性の程度が問題となり、結局、”in the context of the activities”(「に関して」)(これを「~の活動との文脈において」とする訳例がある)を説明したことにならない。ガイドライン全体を読めば、この”inextricably linked”とは、その訳語の一つである「切り離せない程に」と訳すことが適切と思われる。

[2]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄 (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 2020年8月1日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(13) – 地理的適用範囲(1)   今回から何回かに分けてGDPRの域外適用を含むGDPRの地理的適用範囲について解説します。[1]   Q1:GDPRの地理的適用範囲とは? A1: GDPR第3条(地理的適用範囲)(Territorial […]
  • 2020年5月1日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(7) – ePrivacy指令によるCookie規制   今回はePrivacy指令によるCookie規制について解説します。[1]   Q1:ePrivacy指令とは何ですか? A1: 電子通信(電話、インターネット等)の秘密保護等を通じプライバシーを保護する指令です。 【解 説】 (1) 「ePrivacy指令」の正式名称 正式名称は“Directive 2002/58/EC […]
  • 2019年12月9日 『机上で論ずる企業法務』:第8回 法律相談 記事広告:『終身雇用終焉後の法務キャリア』 先人のやり方の踏襲・模倣・集積により帰納的に語られがちな『法務』。それゆえに、『法務』という概念は、多くの法務担当者の中で、どこか場当たり的で統一性がなく、全体像の見えない混沌とした概念になってしまっています。 本コラムでは、この『法務』の概念をシンプルに再定義した上で、新たなカテゴライズを施しながら個別の法務業 […]
  • 2020年4月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(5) – 新型コロナウィルス対応とGDPR   現在、欧州でも新型コロナウィルスの感染が急拡大しており、EUの企業(日本の会社のEU子会社等も含む)が従業員の感染に関する情報を取り扱う機会が拡大しています。これに対し、欧州の個人データ保護監督機関等から、このような状況においてもGDPRを遵守する必要があること、および、これに関する注意点等が発表されています。 そこで、この第5回では予定を変更し、企 […]
  • 2020年9月15日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(16) – 地理的適用範囲(4) 前回に引き続き、今回もGDPR第3条の地理的適用範囲に関するEDPB(監督機関の連合体)の「地理的適用範囲ガイドライン」(日本の個人情報保護委員会の訳はこちら)のうち「ターゲット基準」と呼ばれている第3条第2項に関する部分の続きを解説していきます。  【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: […]
to top