GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(16) – 地理的適用範囲(4)

前回に引き続き、今回もGDPR第3条の地理的適用範囲に関するEDPB(監督機関の連合体)の「地理的適用範囲ガイドライン」(日本の個人情報保護委員会の訳はこちら)のうち「ターゲット基準」と呼ばれている第3条第2項に関する部分の続きを解説していきます。

 【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: GDPR第3条第2項の規定内容は?

Q2: 「EU域内にいるデータ主体に対する物品またはサービスの提供」とは?

Q3: 「EU域内にいるデータ主体に対する物品またはサービスの提供」の意図が明白とされる具体例を挙げて下さい。

Q4: 「EU域内にいるデータ主体に対する物品またはサービスの提供」の意図が否定される具体例を挙げて下さい。

Q5: 「EU域内にいるデータ主体のEU域内における行動のモニタリング」とは?

Q6: 「EU域内にいるデータ主体のEU域内における行動のモニタリング」に該当する具体例を挙げて下さい。

 

Q1: GDPR第3条第2項の規定内容は?

A1: 確認のため以下に再掲します。

 

GDPRは、EU域内で設立されていない(not established in the Union)管理者または処理者による、EU域内にいるデータ主体の個人データの処理が次のいずれかに関連する場合、当該処理に対し適用される。

(a) EU域内にいるデータ主体に対する物品またはサービスの提供

(b) データ主体のEU域内における行動の監視(monitoring) 

page top

Q2: 「EU域内にいるデータ主体に対する物品またはサービスの提供」とは?

A2: GDPR第3条第2項(a)の「EU域内にいるデータ主体に対する物品またはサービスの提供」(に関連した個人データの処理)について、ガイドラインでは以下の通り説明されています。([  ]内は筆者の補足・追記または見解)

【「EU域内にいるデータ主体に対する物品またはサービスの提供」の判断基準】

GDPR前文23では、管理者等がEU域内にいるデータ主体に対し物品・サービスを提供しているか否かを判断するには、管理者等がその提供を「意図」している(envisages)ことが明白(apparent)か否かを判断しなければならないと述べられている。従って、「EU域内にいるデータ主体に対する物品・サービスの提供」の要件は、管理者等がEU域内にいるデータ主体に物品・サービスを提供する「意図(intention)」が明白か否かにより判断される

前文23によれば、EU域内にいるデータ主体が、[EU域内で設立されていない、すなわち日本を含めEU域外に本社等がある]管理者等またはそのEU域内の仲介業者(intermediary)のWebサイトを閲覧しまたはこれらの者の電子メールアドレスを知ることができるだけでは、この意図が明白とは言えない

しかし、EU加盟国の言語の使用、EU加盟国の言語・通貨で注文ができること、EU 域内の消費者またはユーザに関する記述があること等により、この意図が明白であると言える場合がある。

[(日本企業への当てはめ) 従って、日本の企業のサイトで日本語の他英語でも内容が記述されていても、それだけではこの意図が明白とは言えません。英語はEU域内に限らず世界中で利用されているからです。しかし、現実にそのサイトを通じEU域内にある個人からの注文を受けてサービスまたは物品の提供を行うことが反復継続された場合には、仮にその支払が日本円建てでなされたとしても、もはやかかる意図がないとは言えずむしろ当該意図が明白であると認定される可能性が生じると思われます。]

管理者等がEU域内にいるデータ主体に物品・サービスを提供する「意図」が明白か否かは、以下の事項の有無を総合判断する。[但し、日本の企業のWebサイトの場合、通常、英語その他EU加盟国の言語が使用されているページがあることが大前提になると思われます。]

◇提供物品・サービスに関連しEUまたはEU加盟国が言及されていること [例:「EUの規格にも対応」等の言葉]

◇管理者等が、EU域内の消費者から自社サイトへのアクセスを増やすため検索エンジン企業に対価を支払っていること、または、EU向けマーケティング・キャンペーンを行っていること [例:「EU域内からのお客様に特典提供」等]

◇観光事業等、問題となっている物品・サービスの国際的性質 [例:EU域内個人も申込可能な日本旅行の案内]

◇EU域内からの連絡を受ける専用メールアドレスまたは電話番号の記載 [例:「ドイツ語での連絡先はこちら」等]

◇ドイツのドメイン「.de」、EUのドメイン「.eu」等の使用

◇加盟国からサービス提供地までの移動案内 [例:「EU内から当地までの経路はこちら」等]

◇EU域内の常連客への言及、特にこれら常連客によるコメントの掲載 [例:「米のお客様にも好評」等の言葉]

◇EU加盟国言語または通貨の使用(但し、管理者等の自国言語・通貨と同じ場合を除く) [例:独仏語の使用。ユーロ建て価格]

◇EU域内での引渡し [例:日本国内からの配送可能な地域としてEU、独仏等を記載]

page top

Q3: 「EU域内にいるデータ主体に対する物品またはサービスの提供」の意図が明白とされる具体例を挙げて下さい。

A3: 以下にガイドラインで挙げられている例を示します。

 

【例14】(意図が明白とされる例)

トルコを本拠地としトルコで運営されている Web サイトが、写真アルバムの作成等のサービスを提供している場合。サイトは英・仏・蘭語・独語で表示、ユーロ・ポンドでの支払可、英・仏・ベネルクス・独国内に配送可能との記載あり:

この場合、トルコのサイト運営企業に、EU域内にいるデータ主体に対するサービス提供の意図があることは明白であり、「EU域内にいるデータ主体(EU域内の消費者)に対するサービス(写真アルバムの作成等)の提供」に関連した個人データの処理が行われてるから、第 3 条第 2 項(a)によりGDPRが適用される。

[(日本企業への当てはめ) 日本企業が、例えば以下のいずれかを行い英語(その他EU加盟国言語)表示のページもありユーロ決済も可能な場合、第 3 条第 2 項(a)によりGDPRの直接適用を受ける可能性があると思われます。

ECサイトを運営する場合

ゲームを配信し、ID、ゲーム利用履歴・課金情報等(個人データ)を取得・処理する場合

日本国内での宿泊・移動のサービス提供サイトを運営する場合

page top

Q4: 「EU域内にいるデータ主体に対する物品またはサービスの提供」の意図が否定される具体例を挙げて下さい。

A4: 以下にガイドラインで挙げられている例を示します。

 

【例15】(意図が否定される例)

モナコ本拠(EU非加盟)の企業が給与支払のため自社従業員(その多くが隣国のフランスとイタリアに居住している)の個人データを処理している場合:

この場合、モナコ企業が行っている処理は、仏・伊にいるデータ主体に関するものであるが、「物品・サービスの提供」に関し行われているわけではない。従って、第3条第2項(a)の適用はない。

また、この処理は、第3条第2項(b)の「EU域内におけるデータ主体の行動のモニタリング」にも関連しない。従って、第3条第2項によりGDPRが適用されることはない。

[(日本企業への当てはめ) 日本企業が、EU域内にいる社員(例:日本からの派遣社員、現地採用社員)に対する給与支払その他人事労務管理のためその氏名、銀行口座等の個人データを処理しただけでは第3条第2項によりGDPRが適用されることはない。]

 

 

【例16】(ケースにより意図の有無の認定が分かれる例)

スイス(EU非加盟)の大学がオンラインで修士課程の選考を行っている場合(志願者は履歴書等をオンラインでアップロード可。応募資格は独語と英語能力および学士号の資格。特にEUの学生向けに宣伝はしていない。支払いはスイス通貨のみ):

この場合、独語・英語の能力は、志願者の出身・居住国がEU加盟国か否かとは関係がない[EU域外の国にも独語・英語両方ができる人は多くいる]から、EU域内の志願者をターゲットとする意図が「明白」とは言えない。従って、GDPRの適用はない。

但し、例えば、サマーコース参加者を増やすため、特に独・墺大学向けに宣伝する場合は、この意図が明白と言え、「EU域内にいるデータ主体(独・墺大学の学生)に対するサービス(サマーコース)の提供」に関連した個人データの処理に該当し、GDPR が適用される

[(日本企業への当てはめ) 日本企業が海外の人材をWebサイトで募集する場合、応募条件として、英語能力および大学卒資格を要求したとしても、それだけではEU域内の志願者をターゲットとする意図が「明白」とは言えず、GDPRの適用はないと思われます(現実にEU域内から一定人数以上の応募を受け付ければ別)。しかし、卒業大学として「米国、英国、EU域内……の大学卒」等のように特記した場合にはGDPR が適用される可能性が高いと思われます。]

page top

Q5: 「EU域内にいるデータ主体のEU域内における行動のモニタリング」とは?

A5: GDPR第3条第2項(b)の「EU域内にいるデータ主体のEU域内における行動のモニタリング」(に関連した個人データの処理)に関し、ガイドラインでは以下の通り説明されています。([  ]内は筆者の補足・追記または見解)

モニタリングされている行動が、(i) EU域内にいるデータ主体に関するものであり、かつ、(ii) EU域内で行われていなければならない(”as far as their behaviour takes place within the Union”)。

前文24によれば、処理が「データ主体の行動のモニタリング」に該当するか否かの判断においては、問題の処理が、特に次のいずれかを目的として、インターネット上でデータ主体をトラッキングしその後プロファイリング[1]を行う可能性があるか否かを検討しなければならない。

(i) データ主体に関し何らかの判断を行うこと

(ii) データ主体の嗜好、行動、傾向等を分析・予測・評価すること

前文24ではインターネット上でのトラッキングにのみ触れているが、ウェアラブル機器その他スマートデバイスを通じたトラッキングにも同じことが当てはまる。

但し、オンライン上での個人データ取得または分析が全て「行動のモニタリング」に該当する訳ではなく、取得後に行動分析またはプロファイリング(subsequent behavioural analysis or profiling)を行う目的があるか否かを考慮しなければならない。

「行動のモニタリング」に該当する可能性がある例】

◇行動ターゲティング広告(Behavioural advertisement) [ターゲティング広告]

◇位置特定(Geo-localisation activities)(特にマーケティング目的の場合)  [例:GPSを利用した広告配信]

◇クッキーまたはフィンガープリント等を利用したオンライン上でのトラッキング [例:サードパーティーCookieによる追跡]

◇食事・健康に関するオンラインパーソナライズ分析(Personalised diet and health analytics services online) [例:個人別健康アドバイスアプリ]

監視カメラ(CCTV)によるモニタリング

◇データ主体のプロファイルに基づく市場調査その他行動分析 [例:投資アドバイスアプリ]

◇健康状態モニタリング・定期報告サービス [例:スマートウォッチの健康アプリ]

page top

Q6: 「EU域内にいるデータ主体のEU域内における行動のモニタリング」に該当する具体例を挙げて下さい。

A6: 以下にガイドラインで挙げられている例を示します。

 

【例17】(「EU域内にいるデータ主体のEU域内における行動のモニタリング」に該当する具体例)

米企業が、仏国内のショッピングセンターに対し、Wi-Fi トラッキングにより同センター内の顧客の動きを分析し、その結果に基づき店舗レイアウトのアドバイスをしている場合:

「EU域内におけるデータ主体(店舗内顧客)の行動のモニタリングに関連した個人データの処理」に該当し、米国企業は第3条第2項(b)によりGDPR の適用を受ける。

[(日本企業への当てはめ) 日本企業が自社・関係会社または顧客企業のEU域内の店舗内の顧客、事務所・工場内の人間等の動きを、Wi-Fiトラッキング、監視カメラ、電子メールモニタリング等により直接日本からモニタリングし、マーケティング、セキュリティー等のために分析・利用する場合は、第3条第2項(b)によりGDPR の適用を受けると思われます。]

page top

今回はここまでです。次回は、「地理的適用範囲ガイドライン」の概要解説の最終回として、EU域内またはEU域外の企業がEU域内またはEU域外の企業に個人データの処理を委託する場合のGDPRの適用関係を解説します。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【著者GDPR・Cookie規制関連本】

GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制」 2019年11月

 

【著者の最近のプライバシー関連著作】

NEW!! Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

NEW!! カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」 『国際商事法務』 2020年8月号

NEW!! プライバシーシールド(米国への十分性認定)無効判決の概要と影響 ~ EU司法裁判所Schrems II事件判決 ~」 企業法務ナビ,  2020/07/31

カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 –」 『国際商事法務』 2020年6月号

カリフォルニア州消費者プライバシー法(CCPA)の論点 – 個人情報の「販売」とCookie・オンライン広告規制 –」 『国際商事法務』 2020年4月号

個人情報保護法改正案の概要と企業実務への影響」 企業法務ナビ

​「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

 

[2]

                                 

【注】

[1] 「プロファイリング」】 個人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置および移動の評価(evaluate)または分析・予測(analyse or predict)その他個人に関し一定事項を評価するために個人データを利用して行われる全ての形態の自動処理(automated processing)[主にコンピュータによるデータ処理]を意味する(4(4))。

 

[2]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄 (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

to top