ヤフーデータは大切に守ります
(Yahoo!Japanより)

このブログ記事の概要
Yahoo!JapanなどのEU域内に事業所等のない日本企業であっても、EU域内の個人へのネット上のサービスなどを提供している場合、GDPRの直接適用を受け、万一違反をした場合には罰則・制裁金を科されるリスクがある。

1.Yahoo!Japanが2022年4月6日よりEUおよびイギリスでサービスを終了
Yuta Kashino様(@yutakashino)のTwitterの投稿などによると、Yahoo!Japan(ヤフージャパン)が2022年4月6日よりEUおよびイギリスでサービスを終了するとのことです。「ビッグテックのCookie利用で,仏政府が今月頭にGDPRを根拠に巨大制裁金を課した」からであろうとYuta Kashino様はしておられます。

ヤフージャパンEU
(Yuta Kashino様(@yutakashino)のTwitterより)
https://twitter.com/yutakashino/status/1488355581148737537

Yahoo!Japanもプレスリリースを出しています。
・重要なお知らせ 2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域(EEA)およびイギリスからご利用いただけなくなります|Yahoo!Japan

2.4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?
このYahoo!Japanの対応に関しては、Twitter上で「4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?」などの疑問を提起されています。この問題に関しては、GDPRの解説書などを読む限り、そのリスクがあるのではないかと思われます。

3.EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供等を行う場合、GDPRが直接適用される
(1)EUのGDPR(EU一般データ保護規則)3条2項
この点、小向太郎・石井夏生利『概説GDPR』33頁は、

「EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供などを行う場合、GDPRが直接適用される」
と解説しています。

そして、EUのGDPR(EU一般データ保護規則)3条2項はつぎのように規定しています。

「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される」

「(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は」

「(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視」


GDPR3条2項
(GDPR3条2項の日本語訳。個人情報保護委員会サイトより。)
・GDPR仮日本語訳|個人情報保護委員会

つまり、「(a)EU域内のデータ主体(=個人)に対する物品又はサービスの提供」をする場合、または「(b)データ主体の行動がEU域内で行われるものであり、その行動の監視」をする場合のいずれかのときは、EU域内に拠点のない事業者に対してもGDPRが直接適用されることになり、もし万一当該事業者がGDPR違反をした場合には、GDPRに基づく罰則・制裁金などが科されるリスクがあることになります(最大2000万ユーロまたは前会計年度の世界売上の4%のいずれか高い方の金額の制裁金。同83条)。

(2)どのような場合にGDPRが直接適用されるのか?
どのような場合にGDPRが直接適用されるのかについて、小向・石井・前掲35頁以下は、"オンラインサービス提供者の意思が問題となるが、英語でサイトを作成しているだけでなく、ユーロやポンドなどを決済通貨にしてる場合はGDPR3条2項でGDPRが直接適用されるだろう”としています。

また同書は、「.eu」や「.de」などのドメインをサイトに利用してる場合や、『euのお客様へ』などの説明文がある場合、さらにEUの個人の行動ターゲティング広告や位置情報の把握などを実施していたり、cookieなどでeu域内の個人を追跡してる場合などは、GDPR3条2項(b)が適用されるだろうとしています。

この点、冒頭のYuta Kashino様が指摘されているように、Yahoo!JapanはおそらくこのGDPR3条2項(b)が適用され、GDPRの直接適用があるので、GDPRによる罰則・制裁金などのリスクを回避するために4月からEUとイギリスでのサービス提供を終了するのではないかと思われます。

なぜなら、Yahoo!Japanは行動ターゲティング広告などを提供する等のために、Cookieなどにより国内外のユーザーのネット上の行動を追跡・監視しているからです。

この点、Yahoo!Japanの「プライバシーセンター」の「パーソナルデータの取得」のページは、

●Yahoo! JAPANのウェブページへのアクセスに伴って送信された「IPアドレス」を取得する場合
●Yahoo! JAPANのウェブページの閲覧履歴を取得する場合
●Yahoo! JAPANの検索機能を利用する際に入力された検索キーワードを取得する場合
●Yahoo! JAPANのショッピングサービスでの購買履歴を取得する場合
●「Yahoo!防災速報」「Yahoo!天気」「Yahoo! MAP」などをインストールされている端末に対して、所在地に応じた災害情報などをお知らせするために、端末の位置情報を取得する場合
●Yahoo! JAPANの広告主や広告配信先などのウェブページやアプリを利用した場合に、そのパートナーのウェブページやアプリにYahoo! JAPANの「ウェブビーコン」などを設置して「クッキー」や端末情報を参照することで、お客様がご利用の端末を識別するための情報を取得する場合
・パーソナルデータを取得する場合|Yahoo!Japan
ヤフーのプライバシーセンター

などの場合に、Yahoo!JapanはユーザーのIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集するとしています。

つまり、Yahoo!Japanは同社サイトの各種のサービスを利用しているユーザー・顧客のIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集し、それぞれのユーザーのネット上の行動や位置情報などを監視・追跡しているので、GDPR3条2項(b)が適用され、Yahoo!Japanの事業所等が仮にEUになく、EUの域外にしかないとしても、GDPRが直接適用されることになります。そのため、万一Yahoo!JapanがGDPR違反をした場合には、罰則・制裁金などが科されるリスクがあることになります。

4.そもそもGDPRの罰則が日本企業に科されるのか?
ところでネット上をみていると、「そもそもEUのGDPRの罰則が日本企業に科されるはおかしいのではないか?」との意見をみかけます。

この点、たしかに日本の刑法は原則として属地主義であり、日本国内で起きた犯罪を処罰するものです(刑法1条)。しかし、刑法2条から5条までが規定するとおり、日本国民が殺人や強盗など海外で重大な犯罪被害を受けたような場合には、日本の刑法は海外にも適用されます(属人主義)。また、内乱罪や通貨偽造罪など日本の国家的利益を損なう犯罪に対しても日本の刑法が海外に適用されるほか(保護主義)、例えばハイジャックなど世界的な利益に対する犯罪にも日本の刑法が適用されることがあります(世界主義)。

このように、法律は国内だけでなく国外にも適用される場合があります。法律は国をまたいで適応の範囲が重なりあう場合があるのです(小向・石井・前掲38頁、大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁)。

例えば、日本の個人情報保護法75条も、匿名加工情報に関しては国外の事業者にも日本の個人情報保護法が適用されるとの条文を置いています。

個人情報保護法
(適用範囲)
第75条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

5.GDPRの十分性認定とは?
また、「日本はEUからGDPRの十分性認定を受けているので、GDPRの罰則が適用されるのはおかしいのでは?」という疑問もネット上でみかけます。

この点、EUのGDPRは原則として、EU域内の個人データがEU域外に移転することを禁止しています。しかし、①十分性認定(45条)、②拘束的企業準則(BCR(Binding Corporate Rules)46条2項(b)、47条)、③標準データ保護条項(SCC(Standard Contractual Clauses)46条2項(c)(d))、④行動規範(46条2項(e))、⑤認証(46条2項(f))などがある場合には、EU域内の個人データがEU域外に移転することを認めています。

日本は2019年1月にEUからGDPR45条に基づき十分性認定を受けているため、上の拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができることになっています(越境データ移転の問題)。

しかしこれはあくまでも拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができるという越境データ移転の問題であり、日本の企業などがEU域内の個人データに関してGDPR違反をした場合には、上でみたように同3条2項によりGDPRが直接適用され、罰則や制裁金が科されるリスクがあることになります。

6.まとめ
このように、日本はEUからGDPRの十分性認定を受けていますが、しかしEU域内に事業所がある企業や(GDPR3条1項)、EU域内に事業所がない企業でも、例えばECやスマホアプリやゲームの開発などで、EU域内の個人にネットのオンラインサービスなどを提供している事業者などは(同3条2項)、GDPRの適用を受け、万が一GDPR違反をした場合には、罰則や制裁金などが科されるリスクがあることになります。

この点、日本の個人情報保護委員会は、GDPRの日本語訳や各種のガイドラインの日本語訳などをサイトに掲載しています。また、個人情報保護委員会は、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」等も準備しています。そのため、EU域内に事業所のある企業や、EU域内の個人などにネット上のサービスを提供している企業などは、日本の個人情報保護法だけでなく、これらのEUなどの各種の法律やガイドライン、ルール等の法令遵守も必要になると思われます。

・日EU間・日英間のデータ越境移転について|個人情報保護委員会
・GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会
・個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・小向太郎・石井夏生利『概説GDPR』33頁、38頁、41頁、141頁
・大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?