お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
GDPR及びEUプライバシー法における治外法権: 世界売上の4%の罰金が課せられるリスクを検証 (18/06/10)
はじめに
2018年5月25日、欧州連合 ("EU")の一般データ保護規則("GDPR")が効力を発し、過去20年間の中でヨーロッパのデータ保護及びセキュリティへの著しく重要な変更となる。ほとんどの多国籍企業がGDPRの影響を受け、EU間で個人データを収集あるいは処理、あるいはEU市民に物品、サービスを提供するいかなる当該者にとってコンプライアンスは現行の問題である。GDPRは人間のプライバシーへの権利を保護する基本原則に基づいており、EU加盟国法の調和を図り、個人データがEU内を自由かつ安全な流動を保証する。(Recitals 3, 5 and 6).
GDPRに含まれる原則について
GDPRでは現行のEU一般データ保護規則(“規則”)及び関連する国の法令と比較して個人への保護が著しく強化されている。EU規制としての法的地位はEU内で拘束力を持ち、直接的作用があるため国内施行法令を必要としない。
従って、個人は自身の個人データに関連する直接的権利及び救済を与えられている。個人データは先の規則下同様、GDPR下においても広義に定義されており、“特定された、あるいは特定可能な個人(データ主体)に関連する特定可能な個人とは直接的または間接的に特定できる人物であり、とりわけ特定者に関連する名前、識別番号、位置データ、オンラインID、または一つあるいは複数の物理的、生理的、遺伝的、精神的、経済的、文化的または該当個人の社会的アイデンティティーに特有である要因を含むいかなる情報を包含する“(第4条)。従って個人データとは、氏名、メールアドレス、社会保障番号、銀行情報、健康保険番号、及び生体のその他特定事項が含まれる。
GDPRはデータ管理者によるコンプライアンス表明を必要とする個人データの処理に関連した特定の説明責任義務をデータ管理者に課しており(5(2)条を参照)、従って、コーポレート・ガバナンスや組織上級位における文化内に それらの保護を組み込むことを求めている。
GDPR第5条下では個人データの処理時に適用される6つの基本原則が存在する。これら原則は個人データが(1)データ主体に関して合法的、公正、かつ透過的に処理されること(“合法、公正、透過性”の原則とも呼ばれる);(2)特定かつ明白、そして正当な目的のために収集されており、さらなる目的のために処理されたものではないこと(“目的制限”の原則とも呼ばれる);(3)必要事項に関して十分かつ適切、およびその必要事項に限られていること(“データ最小化”の原則とも呼ばれる);(4)正確かつ必要箇所が最新であること、そして不正確な場合には削除/修正されること(“正確性”の原則とも呼ばれる);(5)データ主体の識別を許可できる形を必要以上に超過することなく維持すること(“保管制限”の原則とも呼ばれる;(6)無許可あるいは不法な処理に対する適切な安全および保護の確保が行われるよう処理されていること(“誠実的かつ機密性”の原則とも呼ばれる)。
その他にも注意を要する個人データが処理された際のさらなる義務が存在する。例えば個人に関する人種や種族的出身、政治的見解、宗教的信念、労働組合への加盟、遺伝子データ、生体認証データ、健康データまたは性的指向あるいは性生活に関するデータなどの情報を明るみに出すものが含まれる。
合法、公正、透過性の原則はGDPRにおいて最も詳細な側面の一つでありとりわけ第6条、7条ではどの個人データが収集および処理できるか、またその承諾を得るための条件などの基準が記載されている。
同意に関する規則の変更はGDPR下において非常に急進的であり、個人データの収集および処理が承諾に依拠する場合、厳しい調査を通過しなければならない。
労使関係などの状況下次第では、同意が自由に与えられない根本的な権力の不均衡が見られる場合、その同意はもはや依拠できるものとはならない。
上記に示したように、GDPRは個人が自身の個人データに関わる特定の権利を与えられることを主たる目的の一つとしている。GDPR12条から23条はそのような権利について示しており、データ主体に対し(1)透過性;(2)自身の個人データにアクセスし、情報を受けとる;(3)改正;(4)抹消/忘れられる;(5)処理への制限;(6)データポータビリティ;(7)処理への反対;および(8)自動意思決定への反対における権利を与えている。
地域的範囲について
GDPRの大きな変化として新法の地域的範囲が挙げられる。往来の規則ではEU外に拠点を置く企業に対しては管理されていない。しかし、GDPR下においてはEU内に従業員を雇用、または事務所を構えていない米国拠点の企業でもGDPRが適用される可能性がある。
GDPR第三条下(および説明条項22-25)では、非EUの確立された企業が EU市民の個人データを以下に記載された条件と関連して処理する新法の対象となる:1. EU内の個人へ商品またはサービスの提供(無償提供も含む);または2. EU内の個人の行動を“モニタリング”する行為。
EU市民の個人データが転送されるいかなる非EU企業もGDPRの対象となる。
地域的範囲の拡大を通じたEU内外で設立された企業への条件の平等化は GDPRが大体的に公表している目標である。GDPR第三条はEU規制の地域的到達範囲における著しい拡大を示しているが、個人の権利を保護する世界的アプローチはこれまでにも必要とされてきた。
EU市民への商品またはサービスの提供
非EU企業のウェブサイトがEU内からアクセス可能であるという事実だけでは、商品またはサービスの提供を行っているとはみなされず、GDPR下における条件に従う必要性があるわけではない。
GDPRの条件対象となるためには企業がEU市民に対し商品またはサービスを提供する意図があることを明確化しなければならない。GDPRの説明条項23ではもし企業のウェブサイトがEU加盟国の現地語へのアクセスや、現地通貨での支払い、また明確にEUの顧客を対象としているようなオプションを提供している場合、その企業がEU市民に対し商品またはサービスを提供する意図があると見受けられる可能性がある。従って、個々のEU加盟国に向けた販売またはマーケティングを対象としたインターネット上の存在感を持つ米国企業はGDPRの対象となることが考えられる。
例えば、もしそのような企業が常にインターネット検索結果に表示される状況下においてフランス市民が企業のウェブサイトにアクセスし、商品またはサービスの購入を目的とした問い合わせを行ったとしても、そうした状況のみでGDPR適用を判断することは起こり得ないだろう。
従って、もし企業がフランス市民に対して宣伝を行い、ユーロを受け入れ、フランスのドメインサフィクスを取得しており、フランスへの配送サービスを提供している場合、GDPRは該当企業に問い合わせあるいは契約を結んだEU市民の個人データ処理に適用されると見込まれる。
CJEU (Pammer v Reederei Karl Schluter GmbH & Co and Hotel Alpenhof v Heller (joined cases (C-585/08) and (C-144/09))事件では(商品やサービスの提供などの)活動が特定の訴訟やその批評における管轄の判断がGDPR第3条の解釈の指標となる、という観点からEU加盟国“に向けられる”とみなされる状況について検証を行った。
上記の検討事項に加えて、CJEUはEUの顧客を対象とする意図は以下のように示されると注記している:
1. “特許”の証拠、例えば加盟国内のアクセスを容易とする検索エンジンへの金銭支払いや対象となる加盟国名が指定されている場合など;そして
2. その他要因 – 互いに併用する可能性も考慮しながら – 関連する活動の“国際性”(特定の観光活動など)、インターネット上の参照サービスにおける支出、国際番号の明記、業者が活動する国以外のトップレベルドメイン名の使用(.deや.euなど)、およびその他加盟国に居住する消費者で成り立つ国際的な顧客の明記など。
モニタリング
第3条の説明条項はデータ主体が“インターネット上でトラッキング”されている状況ではモニタリングが構成され関連企業をGDPRの条件対象とする;これにはモニタリングが個人的嗜好、行動や態度を分析/予測する際の判断材料として使用される場合などが含まれる(説明条項24を参照)。
それに応じて、トラッキングクッキーや利用状況をトラッキングするアプリなどを使い、従ってEU市民の個人データを収集するウェブサイトを運営する全ての非EU組織は、収集した情報が特定可能な個人を表示する限りは捕捉対象となる。
クッキーの使用
ウェブサイト全域にわたりユーザーのオンライン活動全般をトラッキングするためにクッキーの分析を実施する非EU企業(例えばセッション限定のクッキー )は行動を監視するためにユーザーの個人データを処理する可能性が高いため、GDPRに引っかかるだろう。
これはUKにおける ユーザーのブラウジングおよびインターネット利用についての情報は個人データとみなされるという判決と一貫している(Vidal-Hall v Google, Inc. [2015] EWCA Civ 311)。
反対に、個人データの収集、あるいはユーザーのトラッキングや分析(例えばウェブサイト機能性を統制するセッションのみのクッキー)を行わないクッキーの使用はGDPRには引っかからないだろう。
IPアドレスについて
個人はまたウェブサイト運営者によるユーザーIPアドレスの収集や共有のためにモニタリングされている場合もある。ほとんどのウェブサイト管理者はウェブサイトアクセス者のIPアドレスを記録、保存している。これらIPアドレスは、特にユーザーのインターネットアクセスプロバイダーがIPアドレスと合わせた場合ユーザーの特定が可能となるデータを持ち合わせている場合、個人データとしてみなされる(Breyer v Federal Republic of Germany (C-582/14)を参照)。
EUからEU国外へのデータ転送
大西洋両岸の国々における商業活動はEUおよび米国などその他国家間を行き交う多大な量の個人データにつながっている。 EU市民の個人データを容易かつ合法的に米国へ転送する能力は多くの企業にとって明らかに不可欠なものである。
一般的にGDPRは往来の規則同様、以下の状況時を除いてEU国外への個人データ転送を禁止している:
1. 接受国に関して欧州委員会によって十分性決定が下された場合;
2. 適切な保障措置が容易されているか否か(標準契約条項あるいは拘束的企業準則の使用を含む);または
3. 固有の例外が適用される場合
十分性決定は基本的に 必要なコンプライアンスの導入を保証するためのさらなる対策無く個人データの自由な流動を許可している。“十分”であると認識された第3国はGDPR内同様、核となるプライバシー保護を共有していると表明できる、 例えば:(1)プライバシーは基本的権利であるという認識;(2)包括的なデータ保護規則の適用;(3)執行可能な個人の権利を導入、そして(4)監督当局の設立などが挙げられる。
元々往来の規則25(6)条に基づいて採用された米国プライバシーシールドフレームワーク(“プライバシーシールド”)は十分性決定の部分的な対象となる。
その仕組みは欧州委員会および米国によって共同施行されたおり、従って企業は個人データを保護するために認証スキームおよび技術的対策の実行を任意に順守することを可能とする。
しかし、プライバシーシールドは米国への個人データ転送するにあたって部分的な安定性しか提供しない。基本的にはそれを採用した企業のみに関連するものであり、GDPR下で必要な保護の全てを提供するわけではない。従って、プライバシーシールド下において単に自己認証性を申し込むだけではもし個人データがEUを離れ米国に転送してしまった場合十分とはならない。
GDPRはまた、非EU管轄に対して欧州委員会が与えている十分性決定の定期的見直しを導入している(45(4)および(5)条およびGDPR45条の説明条項107)。プライバシーシールドは新しいGDPR下において発展途中であるEU法では十分な保護を提供しないという可能性を踏まえて毎年見直される。
従ってその他特例の使用やGDPRのコンプライアンスを保証することが必要となる場合が考えられる。
まず、標準契約条項または(企業間転送を目的とした)拘束的企業準則の使用はEUからEU国外への転送を効果的に行う最適な方法である。基本的に、これら契約の約定は非EUの個人データ受諾者にGDPRの条件を課すこととなる。
次に、GDPR49条に含まれる転送禁止の例外が存在している。これらはもしGDPRの原則に準拠する適切な安全対策またはその他対策が保証されている場合などにEU外、米国などへの個人データ転送時に依拠される。
例えば49条下において企業は以下をもって配慮を求めることができる:(i)データ主体が提案のあった国境を越えたデータ転送を明白に承諾している;(ii)データの転送は契約の履行または締結間の措置の実施に必要な場合;(iii)移転が法的要求の立証、実行、または抗弁に必要な場合;または(iv)移転が公益における重要な理由から必要な場合。
例外の使用についてのさらなる指標がEUデータ保護機関の29条作業部会によって発行されている。
EU外でのGDPR執行について
GDPR51条では各加盟国が一つ以上の独立した公共企業体に対し規則の適用をモニタリングする責任について言及するべきだと示しており、また78条下において全てのデータ主体が上述のような監督当局による法的拘束力を持つ判決に対する効果的な司法救済への権利があると記述されている。
GDPR27条下ではEU加盟国に拠点を置く企業が、関連する監督当局との連絡先、また特定の記録保存条件の対象となる代表者を指定する際の範囲内に含まれる海外データ管理者または処理者への条件が存在する。
さらに、GDPR27条の説明条項では指定代表者は管理者による非コンプライアンス時において執行措置の対象となり得る。
しかし、GDPRはどのような状況下で代表者あるいはデータ管理者が執行措置の対象となるかを明確化しておらず、単に代表者の指定は管理者の責任に影響を与えないとだけ記述されている。
しかし、海外での執行におけるメカニズムは現在不明瞭であり、訴訟によってEU内外それぞれにおいてどのように個人の権利が保護されるか明確化される可能性は非常に高い。
またGDPRは金銭的損失または非物質的損害に問わず、侵害による賠償の権利を確立させることも念頭に置くべきである(82条)。必然的にこの規定は被害者によってclass actionおよび/または集団訴訟において役立つこととなるだろう。
おわりに
GDPAは高等な原則を取り決める冗長かつ難解な規則である。99条および説明条項173条について何年にも及ぶ司法および規制解釈の十分な余地が存在している。
しかし、一つ確実であることはGDPRの範囲は全ての多国籍企業に届き、また個人データの収集、使用、および保護における企業アプローチの変更に関与している。そのような規制変更は好機かつ挑戦の両方であることを証明している。
クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com