こんばんは，弁護士の井川です。

今回は，前回のブログに続いて，GDPRについてお話したいと思います。

GDPRの特徴として，巨額な制裁金があること，広範な域外適用があり域内に拠点を置いていない場合でもリスクがあることを前回お話しました。

今回は，具体的にどのような場合に適用の可能性があるのかご説明します。

まず，GDPRでは，①EU域内に所在するデータ主体に対する商品又は役務の提供，または，②EU域内で行われるデータ主体の行動のモニタリング，のいずれかに関連する個人データの処理についてGDPRの規律を適用しています。

ここで，分かりにくいのが②EU域内で行われるデータ主体の行動のモニタリングというものです。

いったいどのようにモニタリングが行われるのでしょうか。

まずは，皆さんの日常を思い出してください。

たとえば，旅行関連のページを最近訪れたことがあったり，航空会社の広告をクリックしたことがある場合，他の場面でも旅行というジャンルに近い広告を多く目にすることがないでしょうか。

このような広告の仕方は，行動ターゲティング広告と呼ばれるもので，広告の対象となる顧客の行動履歴をもとに，顧客の興味関心を推測し，ターゲットを絞って広告配信を行う手法とされています。

そして，行動ターゲティングの手法を用いて広告活動を行っている場合は，データ主体の行動のモニタリングの典型例であるとして，当該データ処理に関してGDPRが適用されると考えられています。

行動ターゲティング広告を行う際には，クッキー等による情報収集・処理が伴うため，このクッキー等による情報収集・処理についてユーザーの事前の同意を得ることを求める意見が出されています。

近い将来，ネット閲覧時に，多くの企業でクッキーの使用を許可するか否かを問うクッキーバナーが出てくることが予想されます。

企業としては，GDPRによる巨額の制裁金を免れるために必要な対策といえますが，一般ユーザーからすると少し煩わしいと感じるかもしれませんね。

まだ施行されたばかりの規則であり，解説も多くはない分野ですが，今後注目されるべき規則であると言えるでしょう。

今回のブログは以上です。

今後もよろしくお願いいたします。

こんばんは，弁護士の井川です。

２０１８年５月２５日からGDPRの適用が開始されました。

対応に追われている企業も多いのではないでしょうか。

今回は，一般の方にとってあまり馴染みのないであろうGDPRについてお話をしたいと思います。

まず，GDPRとは，General Data Protection Regulationの略で，日本語訳としては一般データ保護規則と言われています。

このGDPRは，EU加盟国を含む欧州経済領域（EEA）３１か国が，域内所在の個人の人権を保護するために設けた規則ですが，世界中の事業者が様々な場面でGDPR由来のリスクにさらされる可能性があるため，多くの世界企業にとって他人事ではない問題をはらんでいます。

GDPRの特徴は，①個人データ保護に重きを置いており，非常に厳格なルールを定めていること②違反者に対しては巨額の制裁金が課せられることが予定されていること③広範な域外適用ルールを備えていることです。

①個人データ保護に重きを置き，非常に厳格なルールを定めていることとの関係では，たとえば，個人データの範囲に関して，オンライン識別子が個人データに含まれることが条文上明確に定められています。

また，②違反者に対しての巨額の制裁金に関しては，最大で，２０００万ユーロ，又は，事業者である場合は，前会計年度の全世界売上高の４パーセントのいずれか高額の方の金額が課されることが予定されており，制裁金としては非常に巨額なものとなっています。

さらに，③広範な域外適用ルールを備えているということに関して，ⅰEU域内に所在するデータ主体に対する商品又は役務の提供（有償・無償を問わない）または，ⅱEU域内で行われるデータ主体の行動のモニタリングのいずれかに関連する個人データの処理をする場合には，域内に拠点を有しない管理者・処理者であっても，GDPRの規律を適用することが定められています。

したがって，EU域内に拠点を置いていない日本企業でも，GDPRの規律の適用を受ける可能性があるため，域内に拠点を置いている企業はもちろん，そうでない企業であっても，巨額の制裁金のリスクにさらされることになるのです。

このようなGDPRについて次回もお話したいと思います。

今回のブログは以上です。