日本企業にも関係ある? 【EUデータ保護規則のコンプライアンス その2】
法務


この記事の目次

第1:前回のおさらい


前回の記事 では、EUデータ保護規則の概要として、従来のEUデータ保護指令と比較した、次の3点を特徴として挙げました。

①非常に強力な制裁が用意されている
②EU圏内で直接に法令としての効力を持つ
③EU圏外に対する適用のルールが明確にされた

上記③の特徴との関係で、EU圏内で活動する場合はもちろん、EU圏外で活動する日本企業の場合業も、EUデータ保護規則の対応の必要性を検討することが大事になってきます。では、EUデータ保護規則はどのような場面でEU圏外の日本企業の活動に関係するのでしょうか?

第2:EUデータ保護規則の域外適用を受ける場面


EUデータ保護規則は、その地理的適用範囲に関する規定を設け、どのような場合にEUデータ保護規則の域外適用があるかを定めています。

具体的には、主として、次の2つの場合に分けて地理的適用範囲を規定しています。

(1)EU圏内に拠点がある場合
(2)EU圏内に拠点はないものの、一定の活動に関連して、EU圏内の個人データを取り扱う場合

まず、(1)の場合は、EU圏内の拠点の活動に関連すれば、個人データの取扱いがEU圏内であるかどうかを問わず、EUデータ保護規則の適用があり得ます。日本企業であっても、EU圏内に、子会社や支店が存在する場合、活動の基盤がある場合等には、それらはEU圏内の拠点とみられ、EUデータ保護規則の適用の可能性があります。

続いて、(2)により、EU圏内の個人に対する商品やサービスの提供や、EU圏内の個人の行動のモニタリングを行う場合には、それらの活動に関連するEU圏内の個人データの取扱いについては、EU圏外で行われる場合にもEUデータ保護規則の適用の対象となります。例えば、EU圏内で消費者顧客向けの商品の販売や、EU圏内の従業員の行動の監視などを行っていると、この規定の適用を受けるでしょう。

これらの規定の適用を受ける場面では、通常、個人データの管理者または処理者として、EUデータ保護規則の直接の名宛人となります。そこで、EUデータ保護規則の規定全般について遵守することを考えなければなりませんし、さらに、制裁金等の処分との関係でも直接の当事者となります。

第3:越境移転で個人データの受信者になる場面


EUデータ保護規則については、EU圏外に個人データを持ち出すことを厳しく取り締まる規制であるとして、報道などで説明されていることを聞いたことがあるかもしれません。このようにEU圏外に持ち出すことについて規定するのが、EUデータ保護規則の中の越境移転に関するルールです。

越境移転に関するルールの下では、EU圏外への個人データの持ち出しが認められるためには、本人の同意を得ること、持ち出し先が十分な個人データ保護法制のある国・地域として認定されていること、発信者と受信者の間で適切な個人データ取扱いを定めた契約を締結すること、適切な個人データ取扱いを定めた企業内準則を制定すること(EU圏外に持ち出されるもののいまだ同一企業内にとどまる場合)のいずれかなど、一定の条件を満たすことが必要です。

EU圏内の発信者が、EU圏外の受信者に対して個人データを提供する場合は越境移転の問題になりますので、例えば、日本企業がEU圏内の企業から顧客情報や従業員情報などの個人データを受信する場面などは越境移転のルールが適用されます。そこで、越境移転で個人データの受信者となる日本企業は、発信者側との間で適切な個人データ取扱いを定めた契約の締結・遵守など、発信者側の対応に応じて、越境移転の適法化のための枠組みのいずれかを講ずることが必要となります。

ただし、EUデータ保護規則の越境移転に関するルールが名宛人としているのは、個人データの発信者側のみであって、受信者は直接の名宛人となっていません。そのため、越境移転の受信者である日本企業が上述したような対応を講じなければならないのは、個人データ発信者がEUデータ保護規則の名宛人として越境移転ルールを遵守することとの関係で事実上求められるということです。このように、上述した地理的適用範囲の規定の適用を受けず、個人データの受信者であるにとどまる日本企業は、EUデータ保護規則の適用は直接受けません。このような場面では、越境移転以外の他のEUデータ保護規則の規定の遵守まで検討をする必要はありません。

まとめ


EUデータ保護規則について自社ビジネスと関係するかどうかを検討する場合、基本的にはEU圏外にある日本企業については、まず、本記事で書いたように地理的観点を分析することが第一歩となるでしょう。

その分析は、地理的適用範囲の規定の適用があり、EUデータ保護規則の名宛人となるか、そうではなくとも、EUデータ保護規則の名宛人から個人データを受け取るので、越境移転の受信者として、事実上の対応が必要かという観点で行うことが出来ると思います。

実際上は、越境移転の受信者となる場合には、地理的適用範囲の適用があることが多くなるとは思いますが、あくまで別の議論・問題であり、EUデータ保護規則の適用の範囲も異なってくることから、理解・分析にあたっては区別するとよいでしょう。

記事のキーワード*クリックすると関連記事が表示されます

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。