弁護士ノート

lawyer notes

GDPR入門(2)

2018.10.05 弁護士:神田 秀斗 個人情報保護

写真:神田 秀斗

著者

神田 秀斗

関連業務

個人情報保護

1 「個人データ」とは
GDPRの4条1項は、GDPRの適用対象となる「個人データ」について、「識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。」と規定しています。なお、以後GDPRの訳文については、個人情報保護委員会の公開している仮訳によります(https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/)。
取り扱う情報がこの「個人データ」に該当しなければ、GDPRの適用はないので、ある情報が「個人データ」か否かは、GDPRが適用されるかの分かれ道になります。
ここで重要なのは、直接個人を特定できる情報だけでなく、他の情報と組み合わせれば特定の個人を識別できる情報も含まれている点です(これを「モザイクアプローチ」といいます。)。
例えば、車両の位置情報だけでは、個人を特定できません。しかし、カーナビ業者であれば、カーナビの個体番号等と照合すれば特定の個人を識別できます。車両の位置情報も、カーナビ業者にとっては「個人データ」になってしまうのです。
このとおり、GDPR上の「個人データ」は極めて広い範囲の情報を指すため、氏名や住所が載っていないからといって、GDPRの適用はないと考えるのは危険です。

2 実体的範囲(処理自体の性質)
上記の「個人データ」に該当したとしても、GDPRが規定する一定の処理が行われる場合でなければ、GDPRの適用はありません。
GDPRが規定する一定の処理が行われる場合を定めるGDPRの1条を整理すると、
① 少なくとも一部が自動的な処理が予定されている場合(システムで管理する場合)、
② ファイリングシステム(GDPRの4条6項)の一部をなす場合、すなわち、一定の基準(50音順など)に従って分類・整序されている場合
となります。
しかし、名刺フォルダの管理ですら②に該当すると考えられているため、残念ながら1条によってGDPR適用から逃れられることは少ないと思われます。

3 地理的範囲
⑴ 日本が活動拠点なら大丈夫?
ここまでで、「個人データ」該当性や一定の処理に該当するかといった要件でGDPRから逃れることは難しいことが分かりました。しかし、このブログを読んでくださっている方は日本国内にいらっしゃる方がほとんどかと思います。日本で活動しているのに、EUの法律を気にしなければいけないのでしょうか?適用の地理的範囲が問題になります。

⑵ EU域内に「拠点」があるとアウト
まず、GDPRの3条1項は、「本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。」と規定しています。
したがって、実際の個人データ処理自体はEU域内で行われなくとも、管理者又は処理者がEU域内に「拠点」を有している限り、GDPRが適用されることとなります。
ここでいう「拠点」(establishment)とは、「安定的な仕組みを通じて行われる実効的かつ現実の活動の実施を意味する」(GDPR前文22項)ので、形式的に支店や子会社が存在しないだけではGDPRの適用から逃げられません。当該加盟国で「実効的かつ現実の活動」を行っているかという実質的な要件で判断されます。

⑶ 「拠点」がなくても適用される場合も…
とはいえ、相当グローバルに活動していない限り、EU域内に「拠点」は持っていないでしょう。では安心して大丈夫なのか?そうは言い切れません。
EU域内に管理者又は処理者の拠点がない場合であっても、
① データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供
② データ主体の行動がEU域内で行われるものである限り、その行動の監視
のどちらかをしていると、GDPRが適用されます(GDPRの2条2項)。
①については、例えば、日本企業が欧州EU域内の個人に対し旅行企画を提供する場合が典型です。ここで、「サービスの提供」といえるためには、単なるEU域内に関する連絡先等が記載されているだけでは足りず、EU域内の言語、貨幣、ドメインネームなどに言及があることが必須と考えられています。
②は、「監視」と規定されていますが、典型的には、Web広告の閲覧履歴やGPS位置データなどの取得・分析がこれに当たります。したがって、EU域内の個人に対しいわゆる行動ターゲティング広告をする場合には、GDPRが適用されます。
このように、日本から一歩も出ていない企業でも、GDPRを適用されてしまうことがあるのです。

4 次回
以上から、日本から一歩も出ていないのに、GDPR対策をしなければならない場合があることが分かりました。次は、GDPRから逃れられない場合に、どうやったら個人データを適法に取り扱ったことになるのか、説明します。

(神田)

BACK

月別
2024年5月
2024年4月
2024年3月
2024年2月
2023年12月
2023年11月
2023年10月
2023年9月
2023年8月
2023年7月
2023年6月
2023年5月
2023年4月
2023年3月
2023年2月
2023年1月
2022年12月
2022年11月
2022年10月
2022年9月
2022年8月
2022年7月
2022年6月
2022年5月
2022年4月
2022年3月
2022年2月
2022年1月
2021年12月
2021年11月
2021年10月
2021年9月
2021年8月
2021年7月
2021年6月
2021年5月
2021年4月
2021年3月
2021年2月
2021年1月
2020年12月
2020年11月
2020年10月
2020年8月
2020年7月
2020年4月
2020年3月
2020年2月
2020年1月
2019年12月
2019年11月
2019年10月
2019年9月
2019年8月
2019年7月
2018年10月
2018年8月
2018年4月
2017年5月
2017年4月
2017年3月
2017年2月
2017年1月
2016年12月
2016年9月
2016年8月
2016年7月
2016年6月
2016年5月
2016年3月
2016年2月
2016年1月
2015年6月
2015年5月
2015年4月
2015年3月
2015年1月
2014年10月
2014年9月
弁護士別
小林 幸夫
弓削田 博
木村 剛大
河部 康弘
藤沼 光太
神田 秀斗
平田 慎二
平塚 健士朗
カテゴリ別
Art Law
Fashion Law
エンターテインメント法
スタートアップ法務
その他の知的財産関連業務
一般企業法務
不正競争防止法
個人情報保護
倒産事件
債権回収
労働法務
危機管理・コンプライアンス
商標法
意匠法
民事介入暴力
渉外法務
特許事務所様向けサービス
特許法
独占禁止法
知的財産訴訟
経営権争奪紛争・会社関係訴訟
著作権法
薬機法マネジメント
買ってみた