GDPRはどんな場合に適用されるのか?基本的なポイントを解説
2018年5月25日、欧州においてGDPR(General Data Protection Regulation/欧州一般データ保護規則)の適用が始まった。サイバー・コミュニケーションズ(cci)が主催したセミナー「広告業におけるGDPRとその課題」の第一部では、GDPRについて押さえておくべき基本的なポイントについて板倉弁護士が解説を行った。
GDPRは欧州での人権保護を基礎としている。One Stop Shop(1国のデータ保護機関から承認を得れば、域内での共通した承認となる制度)としての経済的側面と、インターネット時代の人権保護的側面の二つの性質を有する。以下、特にポイントとなりそうな点をまとめた。
GDPRは誰に適用されるのか?
GDPRの適用対象は、EUとEEA(European Economic Are/欧州経済領域)の域内で、管理者(Controller)または処理者(Processor)の事業所の活動に関連してなされるパーソナルデータの処理が対象となる。加えて、域外適用に関する定めもあり、域内に拠点のない管理者または処理者による域内在住のデータ主体(個人)のパーソナルデータの処理にも、GDPRが適用される。
すなわち、EU在住のデータ主体に対する商品またはサービスの提供や、域内で行われるデータ主体の行動の監視(monitoring)に関連したものが対象となる。
日本企業が域外適用になるのは、具体的にどんな場合だろうか。メルマガの提供を例に、どのレベルからGDPRの域外適用の対象範囲となるかが説明された。
日本語Webサイトで日本語のメルマガを提供:△(WebサイトにEUからアクセスできるだけでは、一律にはGDPRの域外適用の対象にはならない)
英語Webサイトで英語のメルマガを提供:△(英語などEUの言語を使っているだけでは、一律にはGDPRの域外適用の対象とにはならない)
フランス語Webサイトでフランス語のメールマガジンを提供:○(直ちにGDPRの域外適用の対象になるとは限らないが要検討)
英語Webサイトで英語のメルマガを提供するがポンドで有料:○(明確にGDPRの域外適用範囲の対象となる)
英語Webサイトで英語のメルマガを提供するがfor EU citizensと注意書き:○(明確にGDPRの域外適用範囲の対象となる)
また、GDPRに反した場合、最大で2千万ユーロ、または全会計年度の全世界売上高の4%までの、どちらか高い方の制裁金を科される。つまり、欧州域内で事業を行おうとする事業者は、適法なパーソナルデータの処理を行わないことによって莫大な制裁金が課せられる余地があるということだ。
GDPRがダイレクトマーケティングへ及ぼす影響
では、どのような場合に、適法なパーソナルデータの処理といえるのだろうか。板倉弁護士によると、データ主体がパーソナルデータの処理に同意を与えた場合(同意)か、データ主体が当事者となっている契約にかかる場合(契約)、あるいは管理者または第三者によって追及される正当な利益のために処理が必要な場合(正当な利益)、のいずれかが多くの場合には必要になるだろうということであった。
この中で、ダイレクトマーケティングにおいては正当な利益が検討されることもあるが注意が必要だという。つまり、正当な利益に該当する可能性もあるかもしれないが、個人に重大な悪影響を及ぼす可能性も否定できず、そのような場合は適法な処理と見なされないからだ。
加えて、同意についても、同意を得たことの事後的な証明ができることや、同意の要件がわかりにくく複雑でないこと、同意の撤回が可能であること、等が定められており、単なるクリックのような安易な同意では適法な処理と見なされない可能性もある。
データを利活用する事業者においては、自社のデータ利用について棚卸しをし、GDPR対応の要否について検討をすべき必要性を感じる内容であった。
