虎ノ門桜法律事務所の代表弁護士伊澤大輔です。

 

今月25日、EUにノルウェー、アイスランド、リヒテンシュタインを加えたEEA(欧州経済領域)における個人データの新たな法規制、GDPR(一般データ保護規則)が施行されました。

 

GDPRでは、EEA域内31カ国に所在するすべての個人データの処理(収集や保管)に厳格さが求められ、原則として、個人データの域外への持ち出しが禁止されます。 違反者には、最高で、世界売上高の4%か2000万ユーロ(約26億円)のいずれか高い方という巨額の制裁金が科せられる点もインパクト絶大です。

 

ヨーロッパに営業拠点なんてないし、うちの会社にGDPRは関係ないと考える方もいらっしゃるかもしれませんが、それは、それは誤解かもしれません。 GDPRは域外適用される場合があるからです。

 

個人情報

 

 

 

 

◆EEA域内に拠点がなくても、GDPRが域外適用される場合がある。

 

EEA域内に拠点がなくても、日本から直接、域内の個人に対し商品やサービスを提供する場合や、域内で行われる個人の行動のモニタリングに関連する個人データの処理は、GDPRの適用対象になります(第3条2項)。そのサービスの提供が有償か無償かを問いません。

 

例えば、日本の旅館やレストランなどが外国人向けに予約サイトで予約をとっている場合や、EEA域内のユーザー向けにスマホアプリを利用させているような場合に、GDPRの適用対象になる可能性があります。

 

このような場合に、域外適用されるか否かは、EEA域内の個人に対して商品やサービスを提供することを想定していることが明らかどうかで判断されます。

 

その判断要素は、①域内からのアクセス可能性、②使用言語、③決済に利用可能な通貨、④その他ウェブサイト上にEEA域内の個人を想定した記載があるか、です。

 

単に、ウェブサイトに英語版のページを用意しているというだけでは、GDPRが適用される可能性は低いと考えられますが、EEA加盟国で使用されている言語や通貨を用いて、商品等を注文する可能性がある場合には、GDPRが適用される可能性は否定できません。

 

 

 

◆GDPRは企業の規模に関係なく適用される。

 

また、GDPRは、大企業だけが考えればいい問題で、うちのような中小・零細企業には関係がないと考える経営者の方もいらっしゃるかもしれませんが、それも誤解です。

 

GDPRは、会社の規模を問わず、中小・零細企業にも適用されます。また、企業だけでなく、公的機関や地方自治体、非営利団体にも適用されます。

 

 

 

◆BtoB取引だけだから、GDPRは関係がないという誤解

 

あるいは、EEA域内に営業拠点や工場等があっても、うちの会社は、BtoB取引だけで、個人データを取り扱わないから、GDPRは関係がないと考えている担当者の方もいらっしゃるかもしれませんが、これも誤解です。

 

域内の工場で現地従業員を雇用している場合はもちろんのこと、現地子会社に日本の本社から、日本人を出向させているような場合にも、その従業員の個人データがGDPRの保護対象になります。

 

GDPRは、EEA域内に「所在」する個人の個人データに適用され、国籍や居住地を問わず、出向や出張、旅行で域内の国を訪れている個人の個人データも保護対象となるからです。