GDPRに基づくEU代理人業務について
GDPR対応は運用フェーズへ
2018年6月にGDPRが施行されて半年が経過しました。GDPR上の要求事項の実装対応に追われるフェーズからGDPRの運用するを行うフェーズに移行している企業が多くなっています。
そのGDPRの運用のうち、特に、ご相談が多い項目は、DPO(データ・プロテクション・オフィサー)の運用業務とEU代理人業務の運用です。
今回は、まず、EU代理人業務について、具体的にどのようにEU代理人業務を行えば良いのかについて、その実装と運用方法について解説します。
EU代理人候補者の選定
EU代理人の設置義務がある企業が、真っ先に壁に当たるのが、EUの代理人候補者の選定です。
EU代理人は、EU在住であることが要件となっていますので、EU内の法律事務所やコンサルティングファームの弁護士が候補として考えられるはずですが、これが意外に難航します。彼らは、EU代理人業務を行っていないことが多いからです。
EU代理人業務が発生する2つの場面
EU代理人業務が発生するトリガーは、2つの場面が想定されます。
1つは、EUの権利主体すなわち個人からのクレームや問い合わせ対応であり、2つ目は、EUの監督機関からの調査対応です。
これらは、個人情報が、目的外利用など不正に利用されたとして個人が企業に対してクレームを申し立ててくる場面や、情報セキュリティに関するインシデントが発生し、EUの監督機関が調査権限を発動する場面です。
EU代理人に求められるインシデント・レスポンス機能
そのため、EU代理人業務は、
①GDPRの要求事項の法的対応に加えて、
②インシデント・レスポンス=CSIRT(Computer Security Incident Response Team)機能、
③インシデント発生時のEUの監督機関への対応の3つの機能
が要求され、それらに対応できる能力と資質がEU代理人には求められます。
GDPRの文字面では、EU代理人は、単なるメッセンジャーのように読めるかもしれません。しかし、個人からのクレームや、インシデント発生直後に、どのようにスピーディに初動対応に移れば良いかのジャッジができなければ、現場での本質的な要請に応えることはできません。
このようなEU代理人の広範な機能と責任から、EU代理人業務を行わない・行うことができないと判断するEUの弁護士が多いわけです。
これでは、企業のニーズにしっかりとミートできているとは言えません。インシデントが発生した時にこそ、法律家の真価が問われるのであり、情報漏えいインシデントはまさにその重要な一場面であると考えています。
EU代理人の設置義務
では、EU代理人を設置が必須となるケースはどのようなケースでしょうか?
これは、EU代理人の設置義務がある場合=GDPR第3 条2 項の適用場面です。
すなわち、GDPR第3条1項のEU内の拠点を根拠として提供される場面ではなく、EU内の拠点が不要なウェブやアプリサービスを提供し、GDPR3条2項が適用される場面です。
EU代理人の設置義務が発生する要件=GDPR3条2項の適用場面
(a)EU のデータ主体に対する商品・サービスの提供
ECサービスや、日本のドラマ、アニメ、スポーツ、アプリ・ゲームなどのコンテンツをウェブを通じてEUの個人に対して配信するケースが典型例です。
(b) EU 域内で行われるデータ主体の行動モニタリング
ウェブやアプリ上で収集される個人の嗜好、ライフログ、GPS情報などをモニタリングする処理を含むサービスが典型例です。
EU代理人の設置義務の適用除外
但し、EU代理人設置義務は、以下の3つの要件をみたすデータの処理には適用されません。
①一時的なものであり、かつ、
②特別な種類のデータ(人種的若しくは民族的な出自、政治的意見、宗教・思想上の信条、又は、労働組合への加入、遺伝子データ、生体デー タ、健康に関するデータ、性生活、性的指向)の取扱い又は第10 条に規定 する有罪判決及び犯罪行為と関連する個人データの取扱いを大量に含まず、かつ、
③取扱いの性質、過程、範囲及び目的を考慮して自然人の権利及び自由に対するリスクが生ずる可能性が低いこと
しかし、この適用除外要件を見てもお分かりのとおり、EU代理人の設置義務が適用除外されるのは、極めて限定的です。
EU代理人の設置国
EU代理人は、EU加盟各国に設置する必要がありますが、私の現行スキームでは、イギリスとドイツに設置しており、イギリス・ドイツ現地弁護士と東京オフィスの弁護士と協同チームを組成してEU代理人業務にあたっています。
日本企業のサービス展開国は、イギリスが最もマーケットして大きいことからイギリスに設置し、ただし、イギリスのEU離脱(ブレグジット)に対応すべくドイツにも代理人を設置できる体制をとっています。
EU代理人業務のフロー
I【EU監督機関や個人からEU代理人へのコンタクト】
EUの監督機関からの調査や、EUの個人からの問い合わせやクレームをまずは、EU代理人が受理します。
II【EU代理人から日本国弁護士への共有と対応方針のアドバイス】
ここで、EU代理人が受理した内容を東京オフィスの日本国弁護士に共有され、東京オフィスの弁護士が、必要に応じてEU代理人と協議を経て、対応方針を検討し、日本語で委任者である企業のご担当者チームの皆様にEU代理人が受理した内容を連絡し、同時にそれに対する対応方針のアドバイスを行います。
III【企業でアクション方針の決定】
そして、日本国弁護士のアドバイスの元に企業が対応方針を決定し、主として日本国弁護士がEU代理人の協力を得つつ、監督機関・個人などへのコンタクトをとります。
EU代理人業務の標準報酬
企業の規模、特にEU圏内での子会社数、個人の顧客数、個人情報の利活用の形態によって、EU代理人業務の報酬は異なりますが、標準的には、以下の費用で承っています。
具体的なタスクと費用については、別途お問い合わせ下さい。
(i)EU代理人業務のための体制構築費用(初期費用)
・EU代理人⇔日本国弁護士⇔企業のご担当者様間でのレポーティングラインの設定
・EU代理人業務フローのご説明
・EU代理人業務を行うための企業様の体制構築支援
(ii)EU代理人業務対応費用(運用費用)
・EU当局からの調査受付けとそのご連絡
・EUの個人からの問い合わせ受付とそのご連絡
・対応方針に対するアドバイス