概説GDPR 世界を揺るがす個人情報保護制度

　GDPRのお勉強。 　わが国の個人情報保護法における「個人情報」は、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものおよび個人識別符号が含まれるものと定義されている。「識別することができる」や「容易照合性」は、GDPRの「識別可能」にくらべて、やや範囲が限定されると考えられている。 　EU域内に拠点を持っていない企業等であっても、管理者または処理者がEU域内の個人に対し、物品やサービスを提供しようとしている場合には、その提供に関係する個人データの処理はGDPRの規制対象となる。 　では、EU域内の個人に対し、物品やサービスを提供しようとしているかどうかをどのように判断するのか。ここでは特に、提供の意図が重視される。EU域内の者がウェブサイトにアクセスできることや、メールアドレスや他の連絡先に単にコンタクトできるというだけでは、こうした意図は認められない。 　例えば、使われている言語や、決済に用いられる通貨は重要な要素となる。物品やサービスを提供するためのウェブサイトや文書に、EU加盟国内で一般に使われている語や通貨が示されていれば、EU域内の個人に対する提供の意図があると判断されやすい。しかし、同じ言語がその企業が属する国でも一般に用いられるような場合には、こうした意図は認められない。 　日本の企業等についてもっとも問題となるのは、英語版サイトであろう。英語のサイトを開設して物品の販売やサービスを行っているだけでは、おそらくこのような意図は認められない。しかし、ポンドやユーロ等の通貨で支払いを受け付けていたり、EU域内の国民に対するメッセージ（例：「ドイツのお客様へ」）が含まれていたりすれば、EU域内のものに対する物品やサービスの提供とみなされる可能性が高い。EDPBのガイドラインでは、考慮されるべき要素として、下記のようなものが挙げられている。 　・提供する物品またはサービスに関連して、EUや加盟国に関する記載等がある。 　・管理者や処理者が、EU域内の消費者によるウェブサイトへのアクセスを促すためにコストをかけて検索結果への表示を向上させようとしたり、管理者や処理者がEU加盟国内に向けたマーケティングキャンペーンや広告キャンペーンを展開している 　・対象となる事業が観光事業などの国際性を帯びるものである 　・EU加盟国内からの専用連絡アドレスや電話番号の記載がある 　・EUに関わるトップレベルドメイン名である「.de」「.eu」などを使用している 　・EU加盟国からサービス提供地までの移動案内の記載がある 　・EU加盟国に居住する顧客を含む国際的な常連客に関する言及がある。特にEU加盟国に居住する顧客からの投稿等を掲載している 　・事業者の国で通常使用されていない言語や通貨、特にEU加盟国の言語や通貨を使用している 　・管理者がEU加盟国内で物品の配送を行っている 　GDPRにおいては、同意を根拠とする処理は非常に大きなリスクをはらむ。GDPRに関する実務では、「同意だけに頼る処理を、できる限り避けるべき」とアドバイスする専門家も多く、この点は、日本の個人情報保護法とは大きく異なる点である。 　企業がウェブサイトを開設する場合、特にアクセス制限等を設定しなければ、EU域内からもそのサイトにアクセスすることができる。最近では、英語に対応しているサイトも多いので、EUからも閲覧者は訪れるだろう。 　しかし、EUから閲覧があるかもしれないという理由だけで、GDPRが直接適用されることはない。ウェブサイトを通じて、EU域内の本人に対する物品またはサービスの提供や、EU域内での本人の行動のモニタリングに関連して、個人データをの処理を行っているような場合に、GDPRの直接適用を受けることになる。例えば、行動ターゲティング広告、位置情報のマーケティング利用、個人のプロファイルに基づく市場調査等を、EU域内の本人について行っている場合に、行動のモニタリングにあたり、GDPRの適用対象となる。