2018年5月25日以降、欧州における一般データ保護規則、つまり、個人情報保護に関する欧州規則(GDPR)は、欧州のみならず欧州大陸の外にも効力を有している。
大西洋の向こう側の大陸の企業の大半の考え方は、ヨーロッパに拠点を持たない限り明白な形でヨーロッパの法令(重要な規則も含む。)を遵守する必要はない、又は、拠点を持っていたとしても、ヨーロッパの規則を遵守するのは当該拠点のみであるというものである。しかし、データ統一規則の施行以降、以下に該当する企業は当該規則を遵守しなければならない。
- EU内における責任者又は担当者の拠点の活動において、個人情報の性質を持つデータを取り扱う場合で、当該データの取扱いがEUの拠点内で独立して行われるような企業。
- EU内に居住する個人の個人情報を取り扱う企業。当該個人情報の取り扱いが下記に関する場合には、当該企業がEU内に存在するかを問わない。
a. EU内の個人に対して資産又はサービスのオファーを行う場合。支払いを要求するかは問わない。
b. 個人の行動の管理がEU内で行われる場合
この方法により、一般データ保護規則により個人情報の取り扱いとみなされるような行為について、たとえそれが事業活動の発展の一形態として予定されていなかったとしても、アメリカ企業は注意を払わなければならない。その例として以下が考えられる。
- ヨーロッパの顧客が購読するニュースレター
- ヨーロッパの顧客とのウェブ上のコンタクト
- アメリカのサービスのウェブページでのヨーロッパのクライアント登録(無料有料は問わない)
- ヨーロッパの消費者宛の商品の販売
- 欧州企業との契約締結における専門家の個人情報の取得
- 企業のウェブページのCookiesを通じた個人情報の取得(行動の管理及びIPを通じた広告プロファイルの作成)
- 趣向プロファイル作成のためのアプリケーションを通じた場所情報の自動取得(居住所、職場等)
これら及びその他の多くの手続きはアメリカ企業が一般データ保護規則に適応する必要性を意味し、これはとりわけ以下の事項を準備する必要性を意味する。
- プライベートポリシー及び適用されるCookies
- 制定された要件を満たすようなCookiesの使用に関するアラートやバナー
- ウェブページにてあらかじめ選択済みの同意チェック欄を含まないこと
- 一般データ保護規則第13条及び第14条に従い影響を受ける人への通知。彼らの同意を要さない場合も含む。
- ヨーロッパ企業との契約における個人情報保護に関する規定の準備(契約には会社の法的代表者(署名者)の個人情報を含むため。)
この適応のため、これらの企業によるビジネスのプロセス及びその文書について詳細な分析が必要となる。この場合、リスクを最小化するためにこの分野の専門家に依頼することを推奨する。
一般データ保護規則はその違反にかかる罰金として、20,000,000ユーロ又は当該企業の全事業年度における全世界売上高の4%のいずれか高額な方と規定している。
また、上記と同程度の重要性を持つものとして、一般データ保護規則の施行以前に取得した同意について、継続して有効か、新たに取得すべきかを見直さなければならない。
上記または一般データ保護規制に関して分析が必要になった場合は、ヴィラ法律事務所をご利用ください。
テラン・アンドレアス (Andreas Terán)
ヴィラ法律事務所
更なる情報を知りたい方は以下までご連絡下さい。
2019年3月8日
