【解説】Google事件の教訓〜 EU域内に管理者がなければワンストップは適用されない!?


Google制裁事件の教訓?日本企業が各国からの袋叩きを避けるために EU域内に管理者がなければワンストップ・ショップは適用されない!?

1月21日、フランスCNILがGoogleに対して、GDPRが求める情報提供が不十分であることおよび同意が有効要件を欠くことを理由として、5千万ユーロの制裁金を課した。内外の報道では巨額の制裁金と同意取得の難しさばかりが注目されているが、この制裁決定には、日本企業を含め、欧州域外に本拠を持つ企業グループにとっては、より重要な教訓が含まれている。GDPRが新設したワンストップ・ショップ制度の適用に関する論点、つまり、EU域内に管理者となる法人を持たない企業グループ場合、複数のEU加盟国の監督機関から重複して制裁を受ける可能性がある、という点である。

CNILが本件を管轄することについて、Google LLC(アメリカ)は、Android OSの利用に伴うGoogleアカウントによる個人データについて、Google LLCのEU域内における主たる拠点(main establishment)となるのは、欧州でGoogleグループの財務・会計・人事・広告販売などを主管するGoogle Ireland Limited (GIL)であり、アイルランドDPCが主任監督機関(lead authority)として本件を管轄すべきだと主張した。これに対してCNILは、以下の理由により、CNILが本件の管轄権を有すると判断した。

– GILは、GoogleグループのEUにおける総務管理部門の中核で、広告収入でGoogleグループの事業を支えるが、それだけではGILは主たる拠点とはいえない。
– GILは、Android OSを利用するためのGoogleアカウントにおける個人データ処理について意思決定権限を持っていない。
– (Googleアカウント作成時に)Google LLCが示すプライバシーポリシーには、GILが個人データ処理について意思決定する主体として言及されていない。
– Googleアカウントに関連するEUにおける個人データ処理について、GILはDPOとして選任されていない。

この決定理由から読み解けることは、本件個人データ処理に関して、GDPR適用上の「管理者」はGoogle LLC(アメリカ)であり、GILは、Googleグループの欧州統括法人であるというだけではワンストップ・ショップ制度適用の条件となる「主たる拠点」にはならないということである。Google LLCはこの決定を不服とし、フランス国務院に上訴することを明らかにしているが、当面、Google LLCは他のEU加盟国の監督機関からも同じ案件について監督処分を受ける可能性があるということになる。旧29条作業部会(現EDPB)の主たる監督機関の決定方法に関するガイドライン(WP244rev.01)では、まさに今回のケースに当てはまる場合の記述が見られる。

EU域内には中央管理機能がなく、かつ、いずれのEU域内事業所もデータ処理に関して意思決定をしていない(つまり、意思決定はもっぱらEU域外で行われる)といった場合(中略)、GDPRはこのような場合の解決策を提供していない。この状況についての実質的な対処方法は、当該企業が主たる事業所として機能する拠点を指定することだろう。(指定された)この拠点には、データ処理業務に関する意思決定を実行に移す権限及び十分な資産を保有するなどデータ処理について責任を持つ権限がなくてはならない。もし当該企業がこのような形で事業所を指定しないのならば、主たる監督機関を決めことはできない。監督機関は、常に、調査すべきところを調査することができる。

場合によっては、複数のEU加盟国の監督機関から「袋叩き」に遭う場合があるということである。

同様の「袋叩きリスク」は、EU域内に管理者としての拠点を持たない企業グループに共通するものであり、日本企業も例外ではない。では、日本企業がこのようなリスクを回避する、少なくとも軽減するには、どうすればよいのだろうか?今後の司法判断によってCNILの決定が覆る可能性もあるが、この決定を前提とする限り、上掲ガイドラインでも示されているように、ワンストップ・ショップ制度の恩恵を受けるためには、EU域内のグループ法人または事業所に対して、個人データ処理について目的手段に関する意思決定および実行の権限を付与することが最も確実な方法と言えそうである。同時に、データ主体に対して責任主体を明らかにするという透明性確保の観点から、CNILの決定理由に示されているように、プライバシー・ノーティス(GDPR13条に基づく情報提供)において、このような法人または事業所を管理者として表示することが必要だろう。

EU域内に拠点を持たないがGDPR3条2項によりGDPRの域外適用を受ける場合、ワンストップ・ショップ制度の適用を受けることはできない。上掲ガイドラインには、次のように記述されている。

GDPRの協調・一貫性メカニズムに関する規定は、EU域内に1つ又は複数の拠点を有する管理者のみに適用される。EU域内に拠点をもたない企業や、加盟国に現地代理人事務所を置いているだけでは、ワンストップ・ショップを発動することはできない。すなわち、EU域内にまったく拠点をもたない管理者は、事業活動を行うそれぞれの加盟国において、その現地代理人を通じて、各国の監督機関との対応をしなければならないということである。

関連記事