特集
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

GDPR施行後、EU域内の委託先から個人データが漏えいした場合に日本企業はどう対応するべきか ファストブッキング社の事例を踏まえた考え方

IT・情報セキュリティ

目次

  1. 日本国内でビジネスを行っている日本企業にGDPRの適用がある場合とは
    1. GDPRの適用についてのルール
    2. EU域内の個人に対して商品またはサービスをofferingしているとは
    3. GDPRの適用は「意図が明白かどうか」で判断される
  2. GDPRが定める漏えい時の対応
    1. 監督当局へ通知する義務があるか
    2. 日本の個人情報保護委員会への報告
    3. 現地の監督当局に通知することも合理的な判断といえる
  3. 本件を踏まえた実務的な対応

 2018年6月15日および17日に、ホテル予約システムソリューションを提供するファストブッキング社(Fast Booking。フランス法人)が保有するサーバに対して不正アクセスがあり、個人データが大量に漏えいした 1
 日本でも、大手ホテルを中心に約400のホテル施設が、同社に個人データの取扱いを委託しており、本件の不正アクセスにより個人データが漏えいしたとされている 2
 この事件は、EUの一般データ保護規則(GDPR)が2018年5月25日に施行された後に初めて発生した、日本企業を巻き込んだ大規模な個人データ漏えい事件であり、複数のメディアで大きく報道された。
 この事件を題材に、日本国内でビジネスを行っている日本企業とGDPRの関係について検討する。

日本国内でビジネスを行っている日本企業にGDPRの適用がある場合とは

 本件では、日本国内でビジネスを行っている日本企業が、フランス企業に個人データの取り扱いを委託していたところ、そのフランス企業が個人データを漏えいしている。
 このようなケースで日本企業がどのように対応すべきかを検討する前提として、そもそも日本企業にGDPRが適用されるのがどのような場合かを整理する。

GDPRの適用についてのルール

 GDPRは、3条において、GDPRの地理的な適用範囲を定めている。

Article 3 Territorial scope
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
第3条 地理的適用範囲
1. 本規則は、その取扱いがEU域内で行われるものであるか否かを問わず、EU域内の管理者または処理者の拠点の活動に関連してなされる個人データの取扱いに適用される。

 まず、第1項は、EU(EEA)域内のestablishment(拠点)の活動に関連してなされる個人データの取扱いにGDPRが適用されるとしている。EU域内に拠点を有している日本企業は、その拠点の活動に関連して個人データを取り扱う場合には、GDPRの適用を受けることになる。

 次に、第2項は、以下のとおり定めている。本件ではこれが問題となる。

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a)the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b)the monitoring of their behaviour as far as their behaviour takes place within the Union.
2. 取扱活動が以下と関連する場合、本規則は、EU域内で設立されていない管理者または処理者によるEU域内のデータ主体の個人データの取扱いに適用される:
(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品またはサービスの提供。または
(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視。

 第2項は、いわゆる「域外適用」を定めた条文である。すなわち、EU域内で設立されていない管理者または処理者(すなわち日本企業)であっても、(a)か(b)のどちらかに該当する場合には、GDPRの適用を受けるのである。

(a)は、EU域内の個人(データ主体)に対して商品またはサービスをoffering(提供)している場合である。
(b)は、EU域内の個人(データ主体)の行動をmonitoring(監視)している場合である。

GDPRの適用についてのルール

GDPRの適用についてのルール

 本件は、日本国内でホテルのサービスを提供しているケースであったから、(a)が問題となる(なお、(b)とcookieとの関係が大きな問題となっているが、この点については「eプライバシー規則案が与える日本企業の実務への影響」を参照されたい)。

EU域内の個人に対して商品またはサービスをofferingしているとは

 (a)で、「EU域内の個人に対して商品またはサービスをofferingしている」とは、具体的にはどのような場合であろうか。
 この点については、GDPR前文23条が詳細を定めている。

(23)自然人が本規則に基づいて与えられる保護を妨げられないことを確保するために、EU域内に拠点のない管理者または処理者によるEU域内のデータ主体の個人データの取扱いは、その取扱行為が、支払いと関係するか否かにかかわらず、そのようなデータ主体に対する物品またはサービスの提供と関連する場合には、本規則に服さなければならない。EU域内のデータ主体に対してそのような管理者または処理者が物品またはサービスを提供しているか否かを判断するために、EU域内の一または複数の加盟国内のデータ主体に対してその管理者または処理者がサービスを提供しようとする意図が明白かどうかを確認しなければならない。単に管理者、処理者またはその中間介在者の EU域内の Web サイト、電子メールアドレスまたはその他の連絡先にアクセスできるということ、または、管理者が拠点とする第三国において一般的に用いられている言語が使用されているということだけでは、そのような意図を確認するためには不十分であるが、一または複数の加盟国内で一般的に用いられている言語および通貨を用いて当該別の言語による物品およびサービスの注文ができること、または、EU域内にいる消費者または利用者に関する言及があることといったような要素は、その管理者がEU域内のデータ主体に対して物品またはサービスの提供を想定していることを明白にしうるものである。

 つまり、EU域内の個人に対してサービスを提供しようとする意図が明白である場合に、「offering」をしていると評価されるのである。では、どのような場合に意図が明白であるとされるかといえば、EU加盟国で一般的に用いられている言語および通貨を用いていて物品またはサービスの注文(ordering)ができる場合や、EU域内の消費者や利用者に言及しているような場合には、意図が明白であるといわれることになる。

 たとえば、日本企業が日本国内のサーバでインターネット・ショッピングのサイトを開設している場合でも、ドイツ語で注文ができてユーロで決済できるようになっていたり、「ドイツへの発送料は◯◯円」などと記載されていたりすると、EU域内の個人に対してサービスを提供しようとする意図が明白でありGDPRの適用がある可能性が高くなる。

 これに対し、たとえば、地方にある家族経営の民宿が、日本語のウェブサイトだけを開設していて、日本語でしか予約を受け付けていないようなケースでは、GDPRの適用がある可能性は低い。

GDPRの適用は「意図が明白かどうか」で判断される

 この点に関して、しばしば、「EU域内のデータ主体の個人データを取り扱うとGDPRの適用がある」とか、「EU域内に旅行したデータ主体が自社のサービスを利用してしまうとGDPRの適用がある」などという話を聞くが、厳密には違う。「意図が明白かどうか」で判断するのである。

 実際、欧州委員会のウェブサイトでも、以下のケースにはGDPRの適用はない、と明言されている(「Who does the data protection law apply to?」)。  

「あなたの会社はEU域外のサービスプロバイダーである。EU域外の顧客に対してサービスを提供している。クライアントがEUを含む他国に旅行した際にもサービスを利用できる。あなたの会社がEU域内の個人をサービスの特段のターゲットにはしてないのであれば、GDPRのルールの適用はない。」
(Your company is service provider based outside the EU. It provides services to customers outside the EU. Its clients can use its services when they travel to other countries, including within the EU. Provided your company doesn't specifically target its services at individuals in the EU, it is not subject to the rules of the GDPR.)

 つまり、たとえば、日本企業が日本の顧客に対してスマホのアプリを提供しているようなケースでは、顧客がEU域内に旅行した際にそのアプリを利用しても、EU域内の個人をサービスの特段のターゲットにしていない限り、GDPRの適用はないのである。

 以上から、日本でホテルを運営する日本企業が、英語のウェブサイトを開設して予約を受け付けて日本でサービスを提供しているようなケースにおいて、GDPRの適用があるかどうかは、判断が難しい問題であることがお分かりいただけるであろう。
 これは、最終的には各国の監督当局がどのように判断するかの問題であり、実務的にはEU法の弁護士に確認しなければならないポイントであるが、判断の基準はEU域内の個人に対してサービスを提供する意図が明白かどうかである。これは個別具体的に判断するほかない。

 以上を前提に、多くの日本企業が、「GDPRの適用はないと考えつつも、GDPRが求める個人データの保護のレベルは満たすように運用する」といった形で対応したうえで、今後、監督当局が域外適用の条文をどのように運用していくのかを見守っているのではないだろうか(なお、地理的適用範囲に関するガイドライン(Guidelines 3/2018 on the territorial scope of the GDPR (Article 3))の案 3 が2018年11月23日に公開されていることに留意が必要である)。

GDPRが定める漏えい時の対応

 では、以上のように、GDPRの適用はないと考えつつもGDPRの求める水準の対応は行っておく、という方針をとった場合、委託先であるフランス企業からの個人データ漏えいという事態には、どのように対応することになるだろうか。

監督当局へ通知する義務があるか

 具体的には、個人データの漏えい時に、GDPR第33条に従って監督当局へ通知する義務があるかが問題となる(データ主体に対する連絡(34条)も重要な問題であるが、ここでは33条に絞って議論する)。

第33 条 監督機関に対する個人データ侵害の通知
  1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利および自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄監督機関に対し、その個人データ侵害を通知しなければならない。監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
  2. 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。[以下略]

 この条文によれば、監督当局に72時間以内に報告しなければならないのは、「管理者」である。「処理者」は、管理者に通知する義務があるだけである。

 フランスの委託先は「処理者」に当たるから、「管理者」に当たるはずの日本企業に通知するだけであり、自身がフランスの監督当局に通知する義務は負わない。そうすると、GDPRの適用がない日本企業は33条による通知義務も負わないから、誰もフランスの監督当局に通知しない結果となる。

GDPRの適用がない場合、日本企業はフランスの監督当局に対する通知義務を負わない

日本の個人情報保護委員会への報告

 もちろん、日本企業は、日本の個人情報保護法における個人情報取扱事業者である。日本の個人情報保護法は、以下のとおり、外国に居住する本人の個人情報にも適用される(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」(2017年2月16日策定、2018年7月20日更新))。

Q1-6 外国に居住する外国人の個人情報についても、個人情報保護法による保護の対象になりますか。
A1-6 居住地や国籍を問わず、日本の個人情報取扱事業者が取り扱う個人情報は、個人情報保護法による保護の対象となり得ます。

 さらに、以下のとおり、委託先が個人データを漏えいした場合、委託先ではなく委託元が、個人情報保護委員会に報告するものとされている。

Q12-9 委託先において漏えい等事案が生じた場合、委託先が個人情報保護委員会等 への報告を行うことになりますか。
A12-9 委託先において漏えい等事案が発生した場合であっても、委託元が漏えい等事案に係る個人データ又は加工方法等情報について最終的な責任を有することに変わりありませんので、原則として、委託元が個人情報保護委員会等へ報告するよう努めていただきます。ただし、漏えい等事案に係る個人データ又は加工方法等情報の実際の取扱状況を知る委託先が報告の内容を作成したり、委託元及び委託先の連名で報告するといったことが妨げられるものではありません。

 したがって、日本企業が、フランスの委託先から、日本国内外に居住する本人の個人データを漏えいさせた場合、当該日本企業は、日本の個人情報保護法および個人情報保護委員会の告示 4 に従って、日本の個人情報保護委員会へ報告する努力義務を負う5

現地の監督当局に通知することも合理的な判断といえる

 問題は、そのうえでフランスの監督当局にもGDPR第33条に従って通知するかどうかである。
 これは法的にはGDPR第3条2項(a)がいう「EU域内のデータ主体に対して商品またはサービスをoffering」しているかどうか、さらにいえば「その意図が明白」といえるかどうかという域外適用の問題であり、EU法の弁護士の助言を必要とする微妙な問題である。実際、本件においても、日本企業の対応は分かれたと報道されている。

 GDPR第3条2項による域外適用がない以上はフランスの監督機関ではなく日本の個人情報保護委員会に報告すべきだというのは、法的には正しい判断であろう。他方、仮にGDPRの域外適用がないとしても、EU域内のお客様の権利を保護するという観点から、フランス当局にも通知しておくという対応もあり得るであろう。

 この点は、より実務的には、通知をしなかったことにより、1,000万ユーロまたは前会計年度の全世界年間売上高の2%までのいずれか高い方が上限となる制裁金(課徴金)が課される可能性(GDPR第83条4項)があるから、このリスクをどのように考えるかである。

 では、制裁金は、どのような場合に課せられるのだろうか。
 この点は、GDPR第83条2項に定められている。同条項によれば、制裁金の有無、および金額を決める際に以下を考慮するとされている。

(a)関係する取扱いの性質、範囲および目的を考慮に入れたうえで、違反行為の性質、重大性および持続期間、ならびに、その違反行為によって害を受けたデータ主体の人数およびデータ主体が被った損害の程度
(b)違反行為の故意または過失
(c)データ主体が被った損失を軽減するために管理者または処理者によって講じられた措置
(d)第25条および第32条により管理者または処理者によって実装された技術上および組織上の措置を考慮に入れたうえで、管理者または処理者の責任の程度
(e)その管理者または処理者による過去の関連する違反
(f)違反を解消するための、および、違反の潜在的な悪影響を低減させるための、監督機関との協力の程度
(g)違反によって影響を受けた個人データの種類
(h)その違反が監督機関の知るところとなった態様、とりわけ、その管理者または処理者がその違反を通知したのかどうか、および、通知した場合、どの範囲で通知したのか
(i)関係する管理者または処理者に対し、同じ事項に関して、第58 条第2 項に規定する措置が過去に命じられていた場合、それらの措置の遵守
(j)第40 条による承認された行動規範の遵守、または、第42 条による承認された認証方法の遵守
(k)その違反行為から直接または間接に得た財産的な利益若しくは回避された損失のような、その案件の事情に適用可能な上記以外の悪化要素または軽減要素

 アンダーラインを引いた部分を見ると、情報漏えいを監督機関に通知し(h)、データ主体の損害を軽減するために適切な措置を講じて(c)、監督機関と協力していれば(f)、制裁金は課せられないか、課せられるとしても安くなる可能性がある。

 とすれば、域外適用に該当するか明らかではない状況であったとしても、委託先から個人データが漏えいした場合、欧州の監督機関にも(任意に)通知をしておくということも、合理的な判断であるといえよう。大規模な漏えいである場合にはなおさらである。

 万が一EU域内の委託先から情報漏えいが発生してしまった場合にどうするかは、EU法の弁護士の助言を踏まえ、慎重に対応する必要がある問題なのだ(なお、本稿執筆時点において、2018年10月1日に個人データの漏洩を認識しながら、10月30日・31日までデータ主体及び監督機関に通知をしなかったホテルグループが、GDPRの下での課徴金の対象になるのではないかと報道されている。今後の動向に注目する必要がある)。

本件を踏まえた実務的な対応

 以上のとおり、EU(EEA)域内の委託先を利用する場合、GDPR第3条2項による域外適用がない場合であっても、実務的には、情報漏えいの際にEUの監督当局に通知をしなければならない場面が出てくる可能性がある。
 その場合、GDPR第3条2項による域外適用が本当に無かったのかが改めて問われることになる。

 よって、そのときに備えて、GDPR第3条2項による域外適用がないと考えられるケースであっても、GDPRが定める各種の義務を可能な限り果たして「GDPR並み」の対応をしておくことは実務的な対応として合理的である。

 具体的には、日本企業にとって以下が重要であると思われる 6

【EU域内の委託先を利用する場合に特に注意したい点】
  1. GDPR第13条および第14条が定める情報提供(プライバシーポリシーの改訂)
  2. 取扱いについての法的整理(GDPR第6条。同意の取得など)
  3. EU域内の委託先(処理者)との委託契約(Data Processing Agreement(DPA))の改定(GDPR第28条に従った契約条項)

 ①プライバシーポリシーの改訂は多くの日本企業で行われていると思われ、②同意の取得も行っている企業が多いであろう。これらに違反すると、2,000万ユーロまたは前会計年度の全世界年間売上高の4%までのいずれか高い方が制裁金の上限となる(GDPR第83条5項)から、GDPR第3条2項による域外適用の可能性が少しでもあるのであれば、対応しておいた方がよい。
 また、③委託契約(DPA)の改定も行っておいた方が良い。すなわち、委託先(処理者)から個人データが漏えいした場合、管理者に問われるのは、GDPR第28条に従って適切な委託先を利用していたか否かである。これに違反すると、前述した1,000万ユーロまたは売上高の2%を上限とする課徴金の対象となるからである(GDPR第83条4項)。
 GDPR第28条3項は、以下の条項を含む契約を締結することを義務づけている。

(a)処理者が服するEUまたは加盟国の国内法がそのようにすることを要求する場合を除き、個人データの第三国または国際機関に対する移転と関連するものを含め、管理者からの文書化された指示のみに基づいて 個人データを取扱うこと。そのような場合、当該の法律がそのような公共の利益上の重要な法的根拠に関する情報提供を禁止しない限り、処理者は、管理者に対し、取扱いの前に、当該法律上の要件について情報提供するものとする。
(b)個人データの取扱いを承認された者が自ら守秘義務を課し、または、適切な法律上の守秘義務の下にあることを確保すること。
(c)第32 条によって求められる全ての措置を講ずること。
(d)別の処理者を業務に従事させるために、第2 項および第4 項に規定する要件を尊重すること。
(e)第 3 章に定めるデータ主体の権利を行使するための要求に対処すべき管理者の義務を充足させるため に、それが可能な範囲内で、取扱いの性質を考慮に入れたうえで、適切な技術上および組織上の措置によって、管理者を支援すること。
(f)取扱いの性質および処理者が利用可能な情報を考慮に入れたうえで、第32条から第36条による義務の遵守の確保において、管理者を支援すること。
(g)取扱いと関係するサービスの提供が終了した後、EU法または加盟国の国内法が個人データの記録保存を 要求していない限り、管理者の選択により、全ての個人データを消去し、または、これを管理者に返却すること、並びに、存在している複製物を消去すること。
(h)本条に定める義務の遵守を説明するため、および、管理者によって行われる検査若しくは管理者から委 任された別の監査人によって行われる検査を含め、監査を受け入れ、若しくは、監査に資するようにする ために必要な全ての情報を、管理者が利用できるようにすること。

 EU域内の委託先を利用している日本企業は、委託契約(DPA)を締結する際に、日本の個人情報保護法22条の委託先の監督義務を満たす条項だけではなく、万が一GDPRの適用があるとされる場合に備えて上記の(a)から(h)までの条項も含めることを積極的に検討すべきであろう。

  1. 参照:同社のリリース「INFORMATIONS ABOUT A PERSONAL DATA BREACH」 ↩︎

  2. 参照:「ファストブッキングサーバーへの不正アクセスによる個人情報および暗号化されたクレジットカード情報の流出について」(2018年6月26日) ↩︎

  3. https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en ↩︎

  4. 参照:「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号) ↩︎

  5. なお、個人情報保護委員会への報告は、現時点では努力義務であるが、法定義務にするよう改正する方向性が示されているから、今後の動向の留意が必要である(2018年12月17日「個人情報保護委員会(第83回)議事概要」参照)。 ↩︎

  6. その他にも、代理人選任義務(27条)、Data Protection Officer(DPO)選任義務(39条)、DIPAの義務(35条)など重要なものが多数あるから、専門家の助言を得て対応する必要がある。 ↩︎

影島 広泰弁護士

牛島総合法律事務所

  • コーポレート・M&A
  • IT・情報セキュリティ
  • 知的財産権・エンタメ
  • 危機管理・内部統制
  • 訴訟・争訟
  • ベンチャー
IT システム・ソフトウェアの開発・運⽤、個⼈情報・プライバシーのグローバルな取扱い・管理、ネット上のサービス構築、訴訟を中⼼に、企業法務⼀般を取り扱う。⽇本経済新聞社2019年「企業法務・弁護士調査」データ関連で「企業が選ぶランキング」1位。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
影島 広泰弁護士