GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(17) – 地理的適用範囲(5)(処理者への適用関係)

 

今回は、「地理的適用範囲ガイドライン」[1](以下「ガイドライン」という)の解説の最終回として、ある企業(特に日本企業その他EU域外の企業)(「処理者」)が他の企業(「管理者」)に代わり個人データの処理を行う場合にその処理者の処理にGDPRが直接適用される否かかという問題(以下「本問題」という)について解説します。

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

本問題の原則①~④

原則①の具体例

原則②の具体例

原則③の具体例

原則④の具体例

ガイドラインでは、本問題に関する具体例が二箇所に分かれて示されており、しかも、その説明自体も非常に分かりにくいものとなっています。しかし、これらはGDPR 第3条の規定に即して整理し直せばより容易に理解することができます。

そこで、以下においては、先ず、本問題に関しGDPR 第3条の規定から直接導き出される原則を確認し、その後ガイドラインに挙げられている具体例の場面、その理由付けおよび結論を、この原則に即して筆者の言葉で説明していきます(但し例18は不明点があるので省略)。なお、以下において( )内の数字は条文番号であり、[    ]内は筆者による補足・追加等、例の番号はガイドラインの例の番号の通りです。

本問題の原則①~④

 

原則①処理者がその本社その他拠点をEU域内に有する場合、その処理者による個人データの処理については、処理される個人データがEU域内にいるデータ主体の個人データでなくても、常にその処理者の処理にGDPRが適用される(3(1))。

原則②処理者が日本企業その他EU域内で設立されていない企業だが、その処理者によるEU域内にいるデータ主体の個人データの処理が当該データ主体に対する商品またはサービスの提供に関連する場合には、その処理者による処理にGDPRが適用される(3(2)(a))

原則③処理者が日本企業その他EU域内で設立されていない企業だが、その処理者によるEU域内にいるデータ主体の個人データの処理が当該データ主体のEU域内における行動のモニタリングに関連する場合には、その処理者による処理にGDPRが適用される(3(2)(b))。

原則④上記原則①~③のいずれにも該当しない場合、処理者による個人データの処理にGDPRが適用されることはない

但し、管理者について(上記原則①~③と同様の原則から)GDPRが適用される場合、当該管理者は処理者との間でGDPR第28条に定める事項を含む個人データの処理委託契約を締結しなければならず、同契約を通じ処理者も事実上GDPRの間接的な適用を受ける。

原則①の具体例

 

【例7】メキシコ企業Aが、メキシコ市場限定サービスの顧客の個人データの処理を、スペインに設立されている企業Bに委託する場合:

処理者であるスペイン企業Bはその拠点をEU域内に有するから、その個人データの処理については、処理される個人データがEU域内にいるデータ主体(メキシコ市場限定サービスの顧客=メキシコ居住者)の個人データでなくても、常にGDPRが適用される(3(1))。

[従って、日本企業がその日本国内の社員の個人データの処理をEU域内の子会社に委託する場合、日本企業はGDPRの適用を受けないが、EU域内の子会社はその個人データが日本国内の社員のものであってもGDPRの適用を受ける]

原則②の具体例

【例21】トルコの企業Aが、英語・仏語・スペイン語表示のWebサイトを通じ英語・仏語・スペイン語でのツアーガイド付き中東旅行を提供。同サイトではオンライン予約およびユーロ・英ポンドでの支払可能。同社は、チュニジアに設立されているコールセンター(処理者)Bに対し、過去の顧客に旅行のフィードバックの依頼および新たな旅行の宣伝を行うことを委託。

チュニジアのコールセンター(処理者)BはEU域内で設立されていない企業だが、処理者BによるEU域内にいるデータ主体(過去のEU域内顧客)の(旅行のフィードバックの依頼および新たな旅行の宣伝のための)個人データの処理は(Aによる)EU域内のデータ主体に対するサービス(ツアーガイド付き中東旅行)の提供に関連するから、Bによる処理にGDPRが適用される(3(2)(a))

(また、管理者であるトルコ企業Aの処理にも原則②と同様の原則からGDPRが適用される(3(2)(a)。)

原則③の具体例

 

【例19】ブラジルの企業Aが、EU域内にある顧客に商品(食材とレシピ)をオンライン販売。企業Aは、ブラジルで設立されている企業Bに対し、同顧客の過去の注文に基づき特別商品を開発することを委託。

処理者Bはブラジル企業でありEU域内で設立されていない企業だが、BによるEU域内にいるデータ主体(向けの特別商品開発のための)の個人データの処理は当該データ主体のEU域内における行動(注文履歴)のモニタリングであるから、Bによる処理にGDPRが適用される(3(2)(b))。

(なお、処理者Bの処理は、(Aによる)EU域内のデータ主体に対する商品の提供に関連するから原則②によってもGDPRが適用される(3(2)(a))。また、管理者である企業AもEU域内のデータ主体に対する商品の提供に関連しその個人データを処理するのでその処理にも原則②と同様の原則からGDPRが適用される(3(2)(a))。)

【例20】米国企業Aが健康アプリをEU域内のユーザにも提供しこれに関連しその個人データを処理。企業Aは当該個人データの保存のため米国で設立されているクラウドサービス事業者Bを利用。

処理者である米クラウドサービス事業者BはEU域内で設立されていない企業だが、その処理者によるEU域内にいるデータ主体の個人データの処理(保存)は(企業Aによる)当該データ主体の健康状態のモニタリングに関連するから、Bによる処理にGDPRが適用される(3(2)(a))。

(なお、管理者である米国企業Aによる処理(EU域内ユーザの健康状態のモニタリング)にも原則③と同様の原則からGDPRが適用される(3(2)(b)。)

原則④の具体例

 

【例6】フィンランドの企業Aがロシアのサーミ族に関する調査を行うため、カナダ企業Bにロシアのサーミ族の個人データの処理を委託する場合:

処理者であるカナダ企業による処理は原則①~③いずれにも該当しないから、原則④によりGDPRが(直接)適用されることはない

但し、管理者であるフィンランド企業Aには原則①と同様の原則から常にGDPRの適用があり、同企業は処理者であるカナダ企業Bとの間でGDPR第28条に定める事項を含む処理委託契約を締結しなければならず、同契約を通じカナダ企業Bも事実上GDPRの間接的な適用を受ける。

 

今回はここまでです。次回はGDPRの実体的適用範囲、具体的にはどのような個人データの処理にGDPRが適用されるかについて解説します。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

【著者GDPR・Cookie規制関連本】

GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制」 2019年11月

【著者の最近のプライバシー関連著作】

NEW!!中国の国家安全保障と「中国サイバーキュリティー法」の執行規定 ~「公安機関インターネットセキュリティー監督検査規定」の概要~』企業法務ナビ, 2020/09/24

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」 『国際商事法務』 2020年8月号

プライバシーシールド(米国への十分性認定)無効判決の概要と影響 ~ EU司法裁判所Schrems II事件判決 ~」 企業法務ナビ,  2020/07/31

カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 –」 『国際商事法務』 2020年6月号

カリフォルニア州消費者プライバシー法(CCPA)の論点 – 個人情報の「販売」とCookie・オンライン広告規制 –」 『国際商事法務』 2020年4月号

個人情報保護法改正案の概要と企業実務への影響」 企業法務ナビ

​「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

 

[2]

                                 

【注】

[1] 「地理的適用範囲ガイドライン」】 “Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) –  Version 2.1” – 日本の個人情報保護委員会の原文併記訳はこちら

[2]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】

浅井 敏雄 (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 2019年7月16日 ゼロから始める企業法務(第5回)/株主総会業務と専門家との連携 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は上場企業の株主総会業務で重要な、各専門家との連携方法についてお話いたします。   上場企業の株主総会では専門家との連携がとても […]
  • Q&Aで学ぶ英文契約の基礎(16) -  紛争解決条項(5)2020年1月15日 Q&Aで学ぶ英文契約の基礎(16) -  紛争解決条項(5) 記事広告:『終身雇用終焉後の法務キャリア』 この「Q&Aで学ぶ英文契約の基礎」第16回では、実際に仲裁が行われることになった場合の手続の流れ等について解説します。   Q1 : 仲裁の手続の流れを教えて下さい。 A1: 以下に概要を示します。なお、今回は、主に日本商事仲裁協会(Japan Commercial Arbitration […]
  • 2020年10月15日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(18) – 実体的適用範囲   今回は、GDPRの実体的適用範囲(GDPRが適用される個人データの処理)について解説します。   【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: GDPRはどのような個人データの処理に適用? Q2: 「自動的手段」、「ファイリングシステム」とは? Q3: […]
  • 2020年10月1日 Q&Aで学ぶ英文契約書の基礎 第33回 -  契約解除条項(1)(重大な違反による解除)   今回は契約解除のうち「重大な違反」(material breach)による契約解除について解説します。[1] 【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 英文契約の解除条項で出てくる”material breach”とは? Q2: 「重大な違反」に当たるか否かの具体的判断例は? Q3: […]
  • 2020年5月15日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(8) – ePrivacy指令によるCookie規制(II)   今回も前回に引き続き、ePrivacy指令によるCookie規制について解説します。[1]   Q1:前回のQ&AでePrivacy指令によってCookieの利用が規制されているとのことでした。それは、企業にとり具体的にはどのようなことを意味しますか? A1:  […]
to top