MENU

EEAの人のデータだけ保護すればいいの?

GDPRの保護対象は、単純にEEA内のデータにとどまらないので、要注意です。

 

直接EUの方向けにビジネスを行っている方は、もちろん対策を行わなければならいないのですが、そうでない場合でも、GDPRが適用されるケースがあるので紹介します。

 

EU国民以外が対象になることも!

保護対象データは、上記の対象国の国民に限りません。EEA内の所在者の個人データが保護対象となりますので、EEA域内にいる外国人も対象となります。

 

例えば、EU域内に在住している日本人だって対象になります。
さらには、短期出張や、旅行中にEEA域内にいる日本人の情報だって対象になると考えられるんです。

 

というわけで、グローバルに展開していて、EU圏内に法人がある企業の場合には、自社の従業員情報を取扱う場合にも、GDPRを遵守しなければいけないことになります。

 

インバウンドビジネスをしている方は注意!

先ほど、EEAにいる日本人も保護対象になる、という話をしました。
逆にいうと、EEA域内の人も、国外にいる時はGDPRの対象外になるのかと思いきや、残念ながらそうはいかないようです。
そこまで詳細にGDORに明記されていないのですが、ここは現時点では保護対象と考えておいた方が良さそうです。

 

つまり、EEA域内から、日本に旅行に来ている外国人観光客の個人情報を取り扱う際には、GDPRを遵守する必要があります。
インバウンド関係のビジネスをされている方は、要注意ですね。EEAの方の、旅行や、ホテル、レストランの予約情報などは、GDPRの保護対象データになります。

 

日本国内向け事業をしている企業も対象になる場合があります。

その他の例としては、このサイトを運営している私のように、日本国内向けに日本語Webサイトを運営している人。日本人向けだから関係ないかと思いきや、予期せず、EU圏からユーザーがアクセスしてきた際に、取得した個人情報もGDPRの規制対象になるんです。

 

とはいえ、上記の例の場合のようなグレーゾーンの場合は、GDPRの対象にはなっても、罰則が適用されることはないと思われます。

 

このように、GDPRはEU外でも適用されることを、域外適用といいます。

 

GDPRの域外適用

 

GDPRは、EU領域外にも範囲が及ぶという意味で、「域外適用」という用語を使います。

 

GDPRの目的は、個人情報保護なので、個人情報を扱う企業がどこの国にあるのかは、規制に関係がないんですね。
言いかえれば、EU居住者の個人情報を扱う限り、企業が世界のどこに位置しようとも、GDPRの規制下に入ります。

 

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。