弁護士ノート

lawyer notes

GDPR入門(2)

2018.10.05 弁護士:神田 秀斗 個人情報保護

1 「個人データ」とは
GDPRの4条1項は、GDPRの適用対象となる「個人データ」について、「識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。」と規定しています。なお、以後GDPRの訳文については、個人情報保護委員会の公開している仮訳によります(https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/)。
取り扱う情報がこの「個人データ」に該当しなければ、GDPRの適用はないので、ある情報が「個人データ」か否かは、GDPRが適用されるかの分かれ道になります。
ここで重要なのは、直接個人を特定できる情報だけでなく、他の情報と組み合わせれば特定の個人を識別できる情報も含まれている点です(これを「モザイクアプローチ」といいます。)。
例えば、車両の位置情報だけでは、個人を特定できません。しかし、カーナビ業者であれば、カーナビの個体番号等と照合すれば特定の個人を識別できます。車両の位置情報も、カーナビ業者にとっては「個人データ」になってしまうのです。
このとおり、GDPR上の「個人データ」は極めて広い範囲の情報を指すため、氏名や住所が載っていないからといって、GDPRの適用はないと考えるのは危険です。

2 実体的範囲(処理自体の性質)
上記の「個人データ」に該当したとしても、GDPRが規定する一定の処理が行われる場合でなければ、GDPRの適用はありません。
GDPRが規定する一定の処理が行われる場合を定めるGDPRの1条を整理すると、
① 少なくとも一部が自動的な処理が予定されている場合(システムで管理する場合)、
② ファイリングシステム(GDPRの4条6項)の一部をなす場合、すなわち、一定の基準(50音順など)に従って分類・整序されている場合
となります。
しかし、名刺フォルダの管理ですら②に該当すると考えられているため、残念ながら1条によってGDPR適用から逃れられることは少ないと思われます。

3 地理的範囲
⑴ 日本が活動拠点なら大丈夫?
ここまでで、「個人データ」該当性や一定の処理に該当するかといった要件でGDPRから逃れることは難しいことが分かりました。しかし、このブログを読んでくださっている方は日本国内にいらっしゃる方がほとんどかと思います。日本で活動しているのに、EUの法律を気にしなければいけないのでしょうか?適用の地理的範囲が問題になります。

⑵ EU域内に「拠点」があるとアウト
まず、GDPRの3条1項は、「本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。」と規定しています。
したがって、実際の個人データ処理自体はEU域内で行われなくとも、管理者又は処理者がEU域内に「拠点」を有している限り、GDPRが適用されることとなります。
ここでいう「拠点」(establishment)とは、「安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味する」(GDPR前文22項)ので、形式的に支店や子会社が存在しないだけではGDPRの適用から逃げられません。当該加盟国で「実効的かつ現実の活動」を行っているかという実質的な要件で判断されます。

⑶ 「拠点」がなくても適用される場合も…
とはいえ、相当グローバルに活動していない限り、EU域内に「拠点」は持っていないでしょう。では安心して大丈夫なのか?そうは言い切れません。
EU域内に管理者又は処理者の拠点がない場合であっても、
① データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供
② データ主体の行動がEU域内で行われるものである限り、その行動の監視
のどちらかをしていると、GDPRが適用されます(GDPRの2条2項)。
①については、例えば、日本企業が欧州EU域内の個人に対し旅行企画を提供する場合が典型です。ここで、「サービスの提供」といえるためには、単なるEU域内に関する連絡先等が記載されているだけでは足りず、EU域内の言語、貨幣、ドメインネームなどに言及があることが必須と考えられています。
②は、「監視」と規定されていますが、典型的には、Web広告の閲覧履歴やGPS位置データなどの取得・分析がこれに当たります。したがって、EU域内の個人に対しいわゆる行動ターゲティング広告をする場合には、GDPRが適用されます。
このように、日本から一歩も出ていない企業でも、GDPRを適用されてしまうことがあるのです。

4 次回
以上から、日本から一歩も出ていないのに、GDPR対策をしなければならない場合があることが分かりました。次は、GDPRから逃れられない場合に、どうやったら個人データを適法に取り扱ったことになるのか、説明します。

(神田)

BACK