ほとんどのビジネス関係者は、今週EU域内で施行され、一定の海外ビジネスにまで影響を及ぼしている一般データ保護規則(GDPR)について既に周知されていることと思う。同規則を遵守するため、EUから第三国へデータを移動させることが確実であったり、あるいはその可能性を完全に否定できないとする企業の多くは、取引先等に対してデータ保護補遺(DPA)への署名を既に要求し始めている。これらのDPAには欧州委員会の標準契約条項(SCC)が含まれているが、こうした条項は元々1995年のEUデータ保護指令(1995 Data Directive)向けに策定されたものである。
EU域外の企業は、署名を要請もしくは要求されているいかなるDPAについて細心の注意を払うべきである。多くのDPAに含まれるSCCは、ヨーロッパの裁判所が管轄権を有することや、ヨーロッパの法律が適用されることについて、海外企業からの同意を明確に要求するものである。これは、ヨーロッパ域内のデータ主体(data subject)の権利を保護することを目的としているためである。しかしながら、海外企業がヨーロッパからのデータを取り扱う企業とデータをやり取りしているとの理由だけで、海外企業によるGDPRの遵守が直ちに要件とされる訳ではない。海外企業の場合、GDPRの影響がまったく及ばないような状況下にある可能性がある。
GDPRが海外企業に適用されるのは、海外企業がEU域内に「拠点 」を有している場合、EU内居住者に商品やサービスを提供する場合、またはEU内居住者の行動を「監視」している場合(クッキーやその他のオンライン上の追跡機能等の使用も含む)のみである。管轄権を決めるこれら3つの基礎要素は、EU当局によるガイダンスのほか、1995年のEUデータ保護指令上の同様の文言の解釈に関する欧州の裁判所のこれまでの判断の下で、極めて広く解釈される可能性がある。しかしながら、海外企業がEU域内のデータを扱う管理者(controller)や処理者(processor)からデータを受け取っているかもしれないという事実のみで、必ずしも当該海外企業がGDPRの適用対象になるとは限らない。米国と欧州におけるデータに対する義務には著しい相違があるため、特に米国に拠点を置く企業は、自らがヨーロッパのデータ規制の対象とされてしまう内容のDPAへ署名する前に、十分な検討をすべきである。そうすることで、ヨーロッパの法律の適用対象にならずに済むかもしれない。
© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。