ここでは、GDPRの第3条を見ていきます。
第3条はGDPRを理解する上で基本的で重要な内容が含まれる条文なので、ときどき見直します。
第3 条:地理的適用範囲
1. 本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。
ここで、「取扱い(Processing)」「管理者(Controller)」「処理者(Processer)」「拠点(establishment)」という言葉が出てきます。
これらの用語の定義は第4条に記載されており、さらに前文やガイドラインにより詳細に説明されていますが、ここではイメージとして以下のように理解しておけば良いと思います。
- 取扱い(Prossesing):
- 個人データを取り扱うこと。
- 「処理」と表現することが多いので、以降では処理という用語を使うことがありますが、同じ意味だと思ってください。
- 管理者(Controller):
- 個人データの処理の目的と方法を決め、その個人データについての責任を有する者。
- 処理者(Processer):
- 管理者の指示を受けて、その指示通りのデータ処理を実施する者。
- 拠点(Establishment):
- 安定的な仕組みの上で個人データを実質的に処理している活動(の場)。
- 拠点の定義に、支店とか子会社といった法的な形態の違いは影響しません。
管理者、処理者については下でも解説しておりますので、併せてご覧ください。
第1項は、EU域内の管理者または処理者の拠点における個人データの取扱いではGDPRが適用されるということを言っています。
個人データのデータ主体(後述)の所在がEU域内かどうかは関係しません。
2. 取扱活動が以下と関連する場合、本規則は、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いに適用される:
ここで「データ主体」という言葉が出てきますが、これは取扱われる個人データに含まれる個人本人のことを意味しています。
日本の個人情報保護法における「本人」と同じ意味とご理解ください。
第2項では、EU域内に拠点がない管理者または処理者であっても、データ主体(本人)がEU域内にいる人であり、以下の(a)(b)に該当する取扱いの場合はGDPRが適用されると言っています。
ここで「EU域内にいる人」と書きましたが、これはEU域内に国籍がある人や住んでいる人という条件ではありません。
第2項の原文を見ると「personal data of data subjects who are in the Union」の取扱いがGDPRの対象と説明されており、あくまでデータ主体(data subjects)は「data subjects who are in the Union」です。
ですので、「日本に旅行中・出張中のEU国籍の人」はGDPRの対象にならない一方、「EU域内に旅行中・出張中の日本人」はGDPRの対象になります。
では、その(a)(b)の内容を見てみます。
(a) データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。又は
(a)は比較的イメージが付きやすいのではないかと思います。
EU域内の人に対して、オンラインでの物販をしたり、ウェブサービスを提供しようとする場合には、EU域内に拠点がなくてもGDPRの対象となるということです。
では、EU域内の人に物品またはサービスの提供をしようとしているかどうかはどのように考えられているかというと、前文23に以下のような記載があります
EU域内のデータ主体に対してそのような管理者又は処理者が物品又はサービスを提供しているか否かを判断するために、EU域内の一又は複数の加盟国内のデータ主体に対してその管理者又は処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。単に管理者、処理者又はその中間介在者のEU域内のWebサイト、電子メールアドレス又はその他の連絡先にアクセスできるということ、又は、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一又は複数の加盟国内で一般的に用いられている言語及び通貨を用いて当該別の言語による物品及びサービスの注文ができること、又は、EU域内にいる消費者又は利用者に関する言及があることといったような要素は、その管理者がEU域内のデータ主体に対して物品又はサービスの提供を想定していることを明白にしうるものである。
一般データ保護規則(GDPR)の前文第23項
例えば、
- EU域内の言語によるサービスを説明している
- EU域内の通貨での発注ができる
- EU域内での発送に対応している
- EUのドメイン「.eu」やEU加盟国のドメイン(「.de」や「.fr」など)を使用している
などといった状況は、「EU域内のデータ主体に対して物品又はサービスの提供を想定している」に該当することになります。
(b) データ主体の行動がEU 域内で行われるものである限り、その行動の監視。
「行動の監視なんてしない」と思う方も多いかと思いますが、前文24項には以下のような記載があり、たとえばインターネットのターゲティング広告は「行動の監視」に当たる恐れがあります。
取扱行為がデータ主体の行動の監視と考えられうるか否かを判断するためには、自然人のプロファイリングを構成する個人データの取扱い技術が後に使用される可能性を含め、自然人がインターネット上で追跡されているかどうか、特に、データ主体に関連する判断をするため、又は、データ主体の個人的な嗜好、行動及び傾向を分析又は予測するために追跡されているかを確認しなければならない。
一般データ保護規則(GDPR)の前文第24項
実際、Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version 2.1(GDPR の地理的適用範囲(第 3 条)に関するガイドライン 3/2018 – バージョン 2.1)の2(c)に、以下のような事例が挙げられています。
(前略)したがって、データ管理者又は処理者による EU 域内のデータ主体の行動の監視に第3条第2項(b)を適用する際に、特に以下のものを含め、幅広い監視活動が対象になりうる。
GDPR の地理的適用範囲(第 3 条)に関するガイドライン 3/2018 – バージョン 2.1 2(c)
・行動ターゲティング広告
・位置情報サービス(特にマーケティング目的)
・クッキー又はフィンガープリンティングなどのその他の追跡技術を使用したオンライン上での追跡
・オンラインのパーソナライズされた食事及び健康の分析サービス
・CCTV(閉鎖回路テレビ)
・個人のプロファイルに基づく市場調査その他行動調査
・個人の健康状態に関する監視又は定期報告
健康関係で2つの事例があがっています。
「オンラインのパーソナライズされた食事及び健康の分析サービス」を考えてみると、確かに日々の食事の内容や健康状態を入力する前提があることが想定され、「行動の監視」と言われれば、確かにそういう一面があるようにも思います。
同ガイドラインのExample20(事例20)には、以下のような事例で説明されています。
事例 20:米国の会社が健康及びライフスタイルアプリを開発し、ユーザーがその米国の会社に個人的な指標(睡眠時間、体重、血圧、心拍など)を記録できるようにした。このアプリは、ユーザーに食事やスポーツの推奨事項についてのアドバイスを毎日提供する。 この取扱いは米国のデータ管理者によって行われる。このアプリは、EU域内の個人が利用でき、また EU域内の個人により使われている。データ保存の目的で、米国の会社は米国に拠点を有する処理者(クラウドサービスプロバイダー)を使用する。
GDPR の地理的適用範囲(第 3 条)に関するガイドライン 3/2018 – バージョン 2.1 事例20
健康及びライフスタイルアプリの運用において米国の会社が EU域内の個人の行動を監視している限り、それは EU域内の個人を「ターゲティング」することとなり、その EU域内の個人の個人データの取扱いは、 第3条第2項のもとで GDPRの範囲に含まれる。
米国の会社からの指示に基づき及びそれに代わって行う取扱いの場合、クラウドプロバイダー/処理者は、その管理者による EU域内の個人のターゲティングに「関連する」取扱活動を行っている。管理者に代わって処理者が行うこの取扱活動は、第3条第2項のもとでGDPRの範囲に含まれる。
「個人の健康状態に関する監視又は定期報告」についてはどうでしょう。
実は、治験も「個人の健康状態に関する監視又は定期報告」に該当すると考えられています。
EU域外の管理者が、EU域内の人を対象に治験を実施した場合、(a)の「サービスの対象」に該当するようにも考えられますが、この「行動の監視」の考え方から(b)の考え方を取っているEU加盟国が多いことが、IAPPという団体が実施した調査により判明しています。
一般的に、治験における「行動の監視」の側面を意識する人は少ないと思いますが、GDPRではそのように考えることあるということを頭の片隅に置くぐらいで十分かと思います(臨床研究でも同様だと思います)。
上記のIAPPの調査結果も踏まえると、結論的にはEU域内の人を対象にした治験や臨床研究では、EU域内に拠点があろうがなかろうが、原則的にはGDPRが適用されるということを変わりはないので、一般的にはそう理解しておくだけで十分だと思います。
なお、「治験では被験者識別コードを使い、被験者が特定できる氏名や住所などは取得していないから個人データに当たらないのでは?」と疑問に思う方がいらっしゃるかもしれません。
しかしながら、GDPRにおける「個人データ」の定義を踏まえると、被験者を直接特定できるような氏名・住所などの情報がなくても、治験や臨床研究で収集するデータは一般的には個人データに該当するのでご注意ください。
なお、日本の個人情報保護法においても、治験依頼者が直接閲覧や監査などを目的に原資料にアクセスが可能な状態にあれば、治験依頼者も容易に本人を知ることができることから(容易照合性があるため)、治験データは個人データとして取り扱うこととされています。
製薬企業は、治験実施医療機関から収集した治験データの信頼性等を確保するため、モニタリング又は監査のために診療録等を直接閲覧することがある。製薬企業が、被験者識別コードで管理される治験データと、診療録等を照らし合わせる行為が、個人情報保護法における「他の情報と容易に照合することによって、特定の個人を識別することができる」(容易照合性)ことに該当するか否かについては、「実態に即し、氏名・住所などを目にすることが意図的か否かによらず照合が可能な状況にあれば容易照合性が認められる」と考えられる。
製薬企業における個人情報の適正な取扱いのためのガイドライン(令和4年1月20日改訂:日本製薬団体連合会)
3. 本規則は、EU 域内に拠点のない管理者によるものであっても、国際公法の効力により加盟国の国内法の適用のある場所において行われる個人データの取扱いに適用される。
EU加盟国の国内法において適用のある場所における個人データの取扱いもGDPRが適用されます。
以上、GDPR第3条について見てきました。