初めてのGDPR（EU一般データ保護規則）

GDPR（EU一般データ保護規則）とは、欧州連合（EU）で2018年から施行された規則（＝EU加盟国に適用される法律）で、『世界で最も過酷なプライバシーとセキュリティの法律 』とも言われます。

もしあなたが、GDPR上定められた以下のいずれかの地理的適用範囲（以下「GDPRの地理的適用範囲」といいます）に含まれる場合、関連する法律になります。

①EUにビジネスの拠点を有している場合

• 海外に子会社がある
• 海外支店・事業所に駐在員を置いている、または人を雇用している
• 海外に代理店がある

②（①に該当しない場合でも）EU向けに商品やサービスを提供している場合

• 自社でEU向け越境ECサイトを運営している
• 楽天やAmazon等のプラットフォームで販売している（EU向け海外発送も断っていない）
• EU企業と通信のやりとりがある
• 商品やサービスの対象としている顧客にEU企業が含まれる
• 想定している顧客の顧客にEU企業が含まれる

③（①に該当しない場合でも）EUのユーザーの行動監視をしている場合

• ホームページ等でクッキー等を用いてEUのユーザーの閲覧履歴を収集し、ターゲティング広告を配信している

＊ここでのEUとは・・・EUの法令が適用される、欧州経済領域（EEA）域内（EU加盟国＋アイスランド、リヒテンシュタイン、ノルウェー）のことを言います。
＊ここでのEU企業とは・・・EEA域内の企業のみならずEEA域内の自然人も含みます。
＊ホームページ等とは・・・ブログ、オウンドメディアも含みます。

つまり、あなたがどこの国籍の方か、どこに住んでいるかに関わらず、企業か、個人かは問わず、①ビジネスの拠点をEUに持っている場合、②EU向けに商品やサービスを提供している場合、又は③EUのユーザーの行動監視をしている場合には、関係する法律です。

＊GDPRの対象となる個人データとは・・・

①の場合は、EUの拠点で取り扱う個人データであればすべてがGDPRの対象となります（日本国内の企業であれば、本人の国籍や住所を問わず日本の個人情報保護法が適用されるのと同様です）。

②及び③の場合は、EU域内にいる個人（who are in the Union）のデータのみが対象となります。例えばポーランドに出張中であれば日本人の個人データであってもGDPRの適用対象となり、日本に旅行に来ているのであればフランス人の個人データであっても適用対象外となります。（GDPR第3条 地理的適用範囲 ）

ここからは、海外展開ハンズオン支援をご利用される方からのよくある質問（FAQ）を一緒にみていきましょう。

• 弊社は海外展開していませんが、関係がありますか。
• 国内向けECサイトはありますが、海外向けには販売していません。
• ホームページ等ではクッキー等を用いてEUのユーザーの閲覧履歴を収集していません。

【回答１】　GDPRの地理的適用範囲に含まれず、基本的にGDPRの適用はありません。

海外展開していなくても、会社にホームページがあれば、問い合わせフォームなどを通じてEEA域内から個人情報を得る可能性があります。外国語対応のECサイトがなくても、ECサイトを運営していれば問い合わせや注文が入る可能性があります。問い合わせを無視したり、入った注文を断るとしても、すでにサイトへ来訪したEEA域内の個人のIPアドレスやクッキーIDを受信している可能性があります。また、海外発送が出来ない旨のやりとりメールを交わすなど相手のメールアドレスも取得しているかもしれません。

これらのように偶然に意図せずEU域内の個人データを取得してしまったとしても、直ちに「②EU向けに商品やサービスを提供している場合」というGDPRの地理的適用範囲に含まれるわけではないため、基本的にGDPRの適用はありません。

その上で、このほかに、GDPRの地理的適用範囲に含まれる「①ビジネスの拠点をEUに持っている場合」「③EUのユーザーの行動監視をしている場合」に別途該当していないと判断できる場合には、質問1のケースはGDPRの適用が及ばないと結論付けることができます。

必要な対応　→

GDPRの適用がないため、必要な対応はありません。

• 欧州へ個人向け輸出はしていますが、ECサイトからは販売していないです。
• EU圏内に拠点はなく、EU圏内に従業員もいませんが、昔から現地に代理店があります。

【回答２】　　GDPRの地理的適用範囲に含まれ、その適用が及ぶ可能性があるため、対応が必要です。

EU域内の個人へ向けた輸出をしている場合や、EU域内に代理店があり代理店を通して個人への販売をしている場合、自社または代理店経由でEU域内の顧客情報（氏名や住所、メールアドレス等）を取得している可能性があります。これらの個人データはGDPRのルールに従って処理する必要があります。

必要な対応　→

GDPRの適用がある場合は、全てのGDPR上のルールについて対応が必要ですが、外部の目を引きやすい点として、まずはGDPRに対応したプライバシーポリシーの作成・公表から着手することが考えられます。

プライバシーポリシーでは、自社が行う個人データの取扱いの詳細（利用目的、取扱いの法的根拠、本人の権利など）を記載して本人に情報提供することなどが必要です

根拠
第13条　第14条　情報の提供義務

• EU向け越境ECサイト、EU向けを含む海外向けホームページを新設しました、何が必要でしょうか。
• 企業ブログをしています、これからEU向けにも発信したいです。何か関係はありますか。

【回答3】　　GDPRの地理的適用範囲に含まれ、その適用が及ぶ可能性が高いため、しっかりした対応が必要です。

越境ECサイトを経由して日本からEU域内へ販売する場合や、EU域内から日本へ電子上のアクセスがある場合、一般的には、下記の個人情報を取得する可能性があります。

名前、メールアドレス、発送先住所、請求先住所、クレジットカード情報、購入情報、ユーザーのコメント、位置情報、オンライン識別子（IPアドレスやクッキーIDなど）、セキュリティツールやプラグイン情報

これらの情報は、いずれもGDPR上の個人データに該当する可能性があるため、GDPRのルールに従って処理する必要があります。

必要な対応　→

前述のプライバシーポリシーの作成・公表に加えて、下記を徹底する。

１) クッキーポリシーを新設し、ホームページやECサイトの初回来訪者にクッキー使用の同意をとる。

２) ホームページやECサイトの会員登録フォームや問い合わせフォームで個人データを取得する際は『個人データの取扱いに同意する』のチェックボックスを同意が必要なケースに応じて設ける。

３) 取得した個人データの保護、制御、漏洩防止のためのセキュリティ対策をとる。

４) EU域内に書面で代理人を任命する。（但し自然人の権利または自由に対するリスクが生じそうにない、散発的になされる取扱いの場合は適用外）

根拠
第3条　地理的適用範囲
第4条　定義
第5条  個人データの取扱いと関連する基本原則
第6条　取り扱いの適法性
第7条　同意の要件
第8 条 情報社会サービスとの関係において子どもの同意に適用される要件
第9 条 特別な種類の個人データの取扱い

• EU域内の既存顧客リストがあります。
• EU域内向けにニュースレター送付や、キャンペーン告知をしています。
• ショッピングカートのかご落ちを防ぐため、EU域内の個人へ関心度に応じた情報提供をしています。
• 既存顧客リストを共有している第三者企業があります。（Webマーケティング会社等）
• EU域内に子会社があり、日本本社がその子会社内の従業員の管理を行う過程において個人データが記載された書類を扱っています。（退職者、不採用者分含む）
• EU域内の従業員データを共有している第三者企業があります。（人材会社、会計事務所等）

【回答4】　GDPRの地理的適用範囲に含まれ、その適用が確実に及ぶため、早急な対応が必要です。

EU域内の顧客や従業員の個人データには、一般的には、回答１～３の個人情報に加えて下記が含まれている可能性があります。

生年月日、所属情報、身分証明番号、雇用上の情報、評価データ、嗜好データ、映像データ、

身体的データ、生理的データ、遺伝的データ、精神的データ、経済的データ、文化的又は社会的データ

これらの個人情報はGDPRのルールに従って処理する必要があります。

必要な対応　→

前述の１）～４）に加え、

５）社内ルールを抜本的に見直す。

• 個人データの取扱いに関する社内規程、対応マニュアル（本人からの権利行使や個人データ漏洩等への対応）
• 社内フロー
• 社内アクセス権限
• データ保存期間
• GDPRに準拠した個人データの取扱記録の整備

６）外注先等との契約内容を見直す・補充する。

GDPRに準拠したデータ処理契約の締結
EU域内から域外へのデータ移転がある場合は、SCC（標準契約条項）の締結

７）データ保護オフィサー（DPO）を設置する。(第37条（1）に該当する場合)

８）GDPRに準拠していないサービスの利用は、その対応が完了するまで停止する。

『GDPR  compliance そのサービスや会社名』で検索すると、GDPRへの準拠の有無に関する各サービス事業者の見解が分かります。

根拠
第12 条 データ主体の権利行使のための透明性のある情報提供、連絡及び書式
第24条 管理者の責任
第28条 処理者
第29条 管理者又は処理者の権限の下における取扱い
第30条 取扱活動の記録
第32条　取扱いの安全性
第33 条 監督機関に対する個人データ侵害の通知
第34 条 データ主体に対する個人データ侵害の連絡
第37 条 データ保護オフィサーの指名
第38 条 データ保護オフィサーの地位
第39 条 データ保護オフィサーの職務
第44条 移転に関する一般原則
第45条 十分性認定に基づく移転
第46条 適切な保護措置に従った移転

• 日本は十分性認定の対象国となったため、GDPRは適用外となると聞きました。

【その他の回答】

いいえ。十分性認定の対象国となった現状においても日本の事業者はGDPRの適用を受ける可能性があります。

GDPRでは、個人データの域外移転（EU域内から域外への個人データの提供や、域外からの個人データの閲覧等を許すこと）は原則として禁止されていますが、十分性認定は、EU域内と同等の個人データ保護水準が確保されていると認めた国又は地域に所在するImporter（個人データの移転先事業者）への移転に限って、例外として域外移転を許容するというものです。

あくまでGDPRによる規制のうち、域外移転に関する規制というごく一部にのみ関係するもので、域外移転以外のGDPRの規制に関しては、十分性認定の有無は影響しません。従い、質問２～４に該当する企業はGDPRの適用を受ける可能性がありますので、適宜対応を進めましょう。

根拠
第45 条 十分性認定に基づく移転

この規制は2018年5月25日に発効しました。GDPRはプライバシーとセキュリティの基準に違反した者に対して厳しい罰金を科し、罰金は事業者の売上高に応じて数千万ユーロ（数百億円）に達する場合もあります。

今後は、個人情報の取扱いも世界的により厳格化されていくでしょう。取得する個人データのうち、不要な情報はできるだけ取得しないなど、起こりうるリスクを見据え対応し続けることが日本の中小企業にとっても重要です。

参考：

個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679（EU一般データ保護規則）【条文】仮日本語訳
https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

GDPR（EU一般データ保護規則）の実務対応
https://www.jssec.org/dl/20190124_Haruhito_Kitano.pdf

更に理解を深めるには下記の動画もおススメです。

【海外EC】中小企業にとって必要なGDPR 入門編 [ebiz]

【海外EC】中小企業にとって必要なGDPR 実践編 [ebiz]

越境ECや海外向けホームページに必要なGDPR対応のプライバシーポリシーやクッキーポリシーについてお困りではありませんか？中小機構では『はじめてのGDPR対応』についてのご相談を受付けています。具体的な対策が重要だと思うが、どこから手を付ければ良いか判らないなど、お悩みの場合には、お気軽に中小機構の海外展開ハンズオン支援をご利用ください。

中小機構　中小企業アドバイザー（新市場開拓）伊藤　亮介

中小機構　中小企業アドバイザー（国際化・販路開拓）　小川　陽子

中小機構の「海外展開ハンズオン支援」では、国内外あわせて300名以上のアドバイザー体制で、海外ビジネスに関するご相談を受け付けております。

ご相談内容に応じて、海外現地在住のアドバイザーからの最新の情報提供やアドバイスも行っております。ご利用は「何度」でも「無料」です。どうぞお気軽にお申し込みください。

「海外展開ハンズオン支援」
※ご利用は中小企業・小規模事業者に限らせていただきます。