GDPR適用開始から2年、域外適用の範囲を明示

EUの個人情報保護に関する規則「EU 一般データ保護規則（GDPR）」は、2018年5月25日の適用開始から2年が経過した。GDPR違反による制裁金は、公になっている2年目の事例をみると、数千～数万ユーロと少額なケースが多いものの、大きな制裁金決定が科された事例もあった（添付資料表参照）。

また、GDPRの解釈の統一を図るため、欧州データ保護会議（EDPB）は継続してガイドラインを発表している。2019年11月には、地理的適用範囲に関するガイドラインを発表した。GDPRは、EU域内に拠点がない場合であっても、サービスや商品の提供のため、あるいは監視をする目的で、在EUの個人情報を処理する場合、その適用を受ける可能性がある（域外適用）。同ガイドラインは、この適用の範囲を明示する目的で2018年11月に策定され、パブリックコンサルテーション（公開諮問）を経て決定されたもの。この過程で、EU域外で個人情報の処理（注）が始まり、その後、そのデータ主体がEUに移動した場合、その個人情報処理についてはGDPRの適用外になる（EU域外で申し込んだサービスのEU内での継続利用など）ことや、EU域外企業が同じくEU域外の従業員をEUに出張させた場合、その期間の活動のために当該企業がその従業員に関して行う個人情報の処理が、適用外になることなどが新たに追加で明示された。また、データ処理者（管理者に代わって個人情報処理を行う者）への適用に関する説明も追加されており、管理者の意図・目的に準じて判断されるとした。例えば、管理者が行う個人情報処理が、GDPRの域外適用の範囲に入る場合、そのデータを預かるデータセンターなども適用対象となる。

GDPRは、個人情報処理を行うに際して、データ主体からの同意が有効とされる条件が厳しいことで知られるが、EDPBは2020年5月に同意に関するガイドラインも更新した。この更新では、ウェブやアプリなどでのスワイプやスクロールダウンはデータ主体の「同意」を明示的に示すアクションとしては不十分な点などを追加している。

（注）ただし、在EUのデータ主体を想定した個人情報処理は除く。

（福井崇泰）