エンタメ・知財法務
2025.10.17
アプリ、ECサイト、プラットフォームなどのBtoCサービスの海外展開〜個人情報保護規制への対応〜GDPR(EU)編
近年、アプリやECサイト、動画配信プラットフォームなどのBtoCサービスを海外展開する企業が増加しています。
特に、最近では、AIツール等を利用した翻訳の精度も向上したことによるローカライズコストの軽減や、円安等の経済環境も相まって、海外展開を目指す動きが一層加速しています。
インターネット上のサービスは、海外への展開が容易であり、特にアプリゲームなどは、Apple、Google、Steam等プラットフォームを通じて海外への配信を簡単に行うことができます。
しかしながら、この場合諸外国の法律を遵守する必要があり、特にBtoCサービスにおいては、個人情報保護規制への対応が必須となります。
日本の個人情報保護法は、諸外国に比べて比較的緩やかな規制水準にとどまっており、海外展開の際は、より厳格な規制への対応が必要となります。
今回は、EU域内で事業展開を行う際に適用される、GDPR(一般データ保護規則)の概要や、実務上の対応のポイントについて解説いたします。
CONTENTS
執筆者プロフィール
弁護士法人LEON
代表弁護士 田中 圭祐
大手エンタメコンテンツ会社の法務部に所属していた経験から、
企業法務、知的財産法務、渉外法務の分野を中心に活動しております。
事務所としては、これらの分野に加え、インターネット問題の解決に積極的に取り組んでおります。
GDPRの概要と実務上の対応
GDPRとは
GDPRとは、General Data Protection Regulation(一般データ保護規則)の略で、EU(欧州連合)およびEEA(欧州経済領域)における個人データの保護と取扱いを包括的に定めた法令です。
EU域内の個人に商品・サービスを提供する場合や、EU域内の個人の行動をモニタリング(追跡)する場合に適用され、平たく言えば、EUに居住する者の個人データを取得する際に適用される法律です。
個人データの定義と、GDPRの適用
GDPRにおける個人データとは、日本における個人情報よりもはるかに広い概念として定義されています。
まず、日本の個人情報保護法は、以下のように定義されています。
個人情報保護法第2条第1項
生存する個人に関する情報であって、次のいずれかに該当するもの。
①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む。)
②個人識別符号が含まれるもの
一方で、GDPRは、個人データを以下のように定義しています。
EU一般保護規則(GDPR)第4条第1項
『個人データ』とは、識別された自然人又は識別可能な自然人(データ主体)に関するあらゆる情報を意味する。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子といった識別子を参照することによって、または当該自然人の身体的・生理的・遺伝的・精神的・経済的・文化的または社会的な同一性を示す一つ以上の要素を参照することによって、直接または間接に識別されうるものをいう。
日本法では、「特定の個人を識別できる情報」及び「他の情報と容易に照合して識別できる情報」が個人情報に該当します。
例えば、英数字がランダムに羅列したメールアドレス(例:shjkjdie9045@leon.com)がある場合、当該メールアドレス単体からは個人を識別できない為、原則として個人情報には該当しません。
但し、メールアドレスを取得した会社が氏名等も保有しており、顧客名簿を作成しているような場合、当該メールアドレスと、顧客名簿を照合することにより、特定の個人を識別できる為、このメールアドレスも個人情報にあたると解釈されます。
他方、GDPRの場合、「識別可能(identifiable)」か否かの判断が、第三者の保有する情報と照合して個人が識別できるか否かが判断基準となります。
したがって、メールアドレスについても、例えばメールアドレスを発行している事業者が保有している情報などと照合すれば、個人を識別できるため、識別可能な自然人に関する情報=個人データに該当するという整理になります。
そのため、GDPRでは、非常に広範な情報が個人データとみなされます。整理すると以下の通りです。
- 自然人に関するあらゆる情報が含まれる。
- 直接識別子(氏名やマイナンバー)だけでなく、間接識別子(オンライン識別子や位置データ等)を含む。IPアドレス、アカウントID、メールアドレス等も当然個人データに該当する。
- 暗号化、仮名化されたデータも、復元可能であれば個人データに該当する。
- 断片的な情報であっても、複数の情報が集まれば、個人にたどり着けるなら、それらの断片は個人データと整理される。ここで、事業者自身が断片を全て保有している必要はない。
したがって、日本のBtoCサービスにおいては、「個人情報を取得しない」設計も可能ですが、EUにおいて、個人データを取得しないBtoCサービスというのは事実上観念できず、どのようなサービスであっても、GDPRが適用されると考えるのが安全です。
委託先事業者への個人情報開示に関する注意点
個人情報保護規制においては、国を問わず、本人の同意がない第三者に対する個人情報の提供は禁止されています。
もっとも、「委託先事業者」に対する個人情報の開示については、国ごとに取り扱いが異なります。
日本法では、次のとおり、利用目的の達成に必要な範囲内における個人データの取り扱いの全部又は一部を委託する場合、委託先に対する個人情報の開示は第三者提供には該当しない(=本人の同意を得ずに適法に開示ができる)と整理されます。
(第三者提供の制限)
第27条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
・・・
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
その上で、委託元には、法第25条に基づく委託先の監督義務が課されるにとどまります。
一方、GDPRでは、controller(管理者)からprocessor(処理者)への個人データの移転は、「第三者提供(disclosure to a third party)」には該当しないものの、controller(管理者)はGDPR28条に基づき、processor(処理者)と書面契約を締結する義務を負います。
したがって、GDPRにおいては、必要な内容を盛り込んだ契約を締結しなければ、委託先事業者だからといって、個人データを開示することはできません。
具体的には、①処理の目的・性質・範囲・期間、②機密保持、③安全管理措置、④処理終了後のデータ返却・消去等、種々の取り決めを行う必要があります。
このように、GDPRでは、委託先への個人データの開示も、厳格な契約・管理を前提にした限定的許容となっており、単に「業務委託だから問題ない」とはいえない点に注意が必要です。
外国への越境移転
日本法においては、個人データを外国の委託先事業者に提供する場合、当該事業者の所在地や体制に応じて対応が異なります。
個人情報保護法28条は、外国への個人データの移転について定めていますが、EEA規定国(EU等)及び英国に所在する事業者は、「我が国と同等の水準にある制度を有する国」として指定されています。
このため、当該国への個人データの提供は、28条のかっこ書に該当し適用が除外され、個人情報保護法27条に規定のみが適用され、委託先事業者への提供が可能となります。また、「日本法と同等以上の保護措置(相当措置)」を継続的に講ずる体制を整備している外国事業者も、28条の適用除外となり、同様に委託先事業者への提供が可能となります。
(外国にある第三者への提供の制限)
第28条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
・・・
一方、上記に該当しない国・地域の第三者に個人データを提供する場合には、第28条第1項本文に基づき、本人の同意が必要となります。
なお、次のようなケースは実質的に外国の第三者への提供とは評価されず、柔軟な運用が可能とされています(個人情報保護委員会ガイドラインQ&A12-3参照)。
- 自らが外国に設置し、自ら管理・運営するサーバに個人データを保存する場合
- 外国の事業者が設置するサーバを利用する場合であっても、当該事業者が契約上「個人データを取り扱わない(アクセスしない)」旨を明示している場合
他方、GDPRの場合、EU/EEA域内から第三国(域外)への個人データ移転は、GDPR第44条以下に従い、原則として禁止されており、一定の条件を満たす場合にのみ適法となります。
まず、欧州委員会が「十分性認定(Adequacy Decision)」を行った国・地域への移転は、追加的な承認や本人同意を要せず、自由にデータを移転することができます(45条)。
一方で、十分性認定がない国・地域に個人データを移転する場合、移転元の管理者(Controller)は、GDPR第46条に基づき、「適切な保護措置(Appropriate Safeguards)」を講じる必要があります。その典型例が、標準契約条項(Standard Contractual Clauses, SCC)であり、当該契約を締結した上で、移転影響評価(Transfer Impact Assessment, TIA)を実施し、移転先国における政府アクセスリスク等を評価・記録しなければなりません。
また、企業グループ内部でのデータ移転については、GDPR第47条に基づき、監督機関(Supervisory Authority)の承認を受けた拘束的企業準則(Binding Corporate Rules, BCR)を整備することにより、適法なデータの移転が可能です。
これらいずれの条件も満たさない場合には、GDPR第49条の例外規定(Derogations)に基づき、
データ主体に対して十分な保護措置が存在しないことを説明したうえで、明示的同意(Explicit Consent)を取得しなければなりません。
ただし、同条はあくまで、「例外規定」であり、実務的にこの方法による移転は高リスクであると考えられます。
さらに、外国事業者が設置・運営するサーバにEU域内の個人データを保存する行為も、GDPR上は国外移転に該当します。
したがって、たとえばEUで取得した個人データを米国のクラウドサーバに保存する場合、当該事業者がEU–US Data Privacy Framework(DPF)に正式に参加しているか、またはSCC+TIA等によって適切な保護措置を講じていない限り、本人の同意がない移転はGDPR違反(違法移転)となります。
なお、GDPR上の十分性認定国は、日本(補完ルール適用有)、韓国、英国、カナダ、スイス、アルゼンチン、イスラエル、ニュージーランドなどです。
これに該当しない国は、中国、インド、米国(DPF参加企業の除く)などです。
本人対応に関する義務
日本の個人情報保護法においては、個人情報の主体は、以下の請求を行うことができ、個人情報取扱事業者は、これに応じる義務を負います。
- 本人からの開示請求に応じる義務(33条)
- 本人からの訂正・追加・削除請求に応じる義務(34条)
- 不正取得・目的外利用・不正提供がある場合に利用停止・消去・提供停止に応じる義務(35条)
一方GDPRにおいては、以下の通りです。
- 本人からの開示請求に応じる義務(第15条)
- 本人からの訂正請求に応じる義務(第16条)
- 本人からの削除請求(忘れられる権利)に応じる義務(第17条)
- 本人からの処理制限請求に応じる義務(第18条)
- 本人からのデータポータビリティ請求に応じる義務(第20条)
- 自動化された意思決定に関する情報提供と拒否権を保障する義務(第22条)
このうち、データポータビリティ権と、自動化された意思決定に関する拒否権は、日本法には存在しない概念です。
データポータビリティ権とは、①自分が提供した個人データを、②構造化された一般的に使用される機械可読な形式(structured, commonly used and machine-readable format)で受け取り、③さらにそれを他の管理者(controller)に移転(transmit)させることができる権利です。
これは、データ主体が自分のデータを自由に取得し、他のサービスや事業者へ容易に移行できるようにすることで、個人の自己決定権と競争を促進することを目的としています。
いわば、「データの引越権」「サービスの乗換権」と表現することができます。
また、自動化された意思決定に関する情報提供と拒否権は、AI・アルゴリズムなどによる自動スコアリング・自動拒否などに対し、人間による介入や異議申立ての機会を保障するものです。
例えば、完全に自動化された与信審査や採用選考が行われた場合、本人は人による再評価や説明を求めることが可能となります。
DPIAの実施とDPOの任命
GDPRにおいては、高リスク処理に対してデータ保護影響評価(DPIA:Data protection impact assessment)を実施する義務が定められています(35条)。
また、一定の条件下では、データ保護責任者(DPO:Data Protection Officer)を任命する義務があります(37条)。
DPIAは、個人データの処理が個人の権利・自由に対して高いリスクをもたらすおそれがある場合に、そのリスクを事前に評価し、低減措置を講じるためのプロセスです。
評価の結果は通常、報告書(DPIAレポート)として文書化されます。具体的には、以下のステップを踏んで実施されます。
| ①処理内容の明確化 | どのようなデータを、誰が、のような手段で、どの目的で処理するのかを特定する。 |
|---|---|
| ②必要性と比例性の評価 | 処理目的が正当か、データ最小化・保存期間・アクセス制御が適切かを検討する。 |
| ③リスクの特定と評価 | 個人の権利・自由に対する潜在的リスク(漏えい、誤用、差別、監視感ど)を特定し、発生確率と影響度を評価する。 |
| ④緩和措置の策定 | 暗号化、仮名化、アクセス制限、削除ポリシー、人による監視体制の整備など、リスクを低減させる措置を講じる。 |
DPIAの実施が求められる典型例は以下のような場合です。
| 内容 | 具体例 |
|---|---|
| 大規模な監視 | 行動トラッキング、GPS追跡、Web閲覧履歴の分析など |
| 自動化処理による意思決定 | 信用審査の自動算出、採用選考の自動化など |
| センシティブ情報の大規模処理 | 医療機関、保険会社、労働組合などが多数の個人情報を扱う場合 |
| EUで監督機関が義務付けた処理 | 生体認証導入など、各国で定められた義務リストに該当する場合 |
DPOは、組織内でGDPRの遵守を監督・助言する役割を担う者であり、一定の条件下で任命が義務付けられます。
DPOの任命が必要な典型例は以下のような場合です。
| 内容 | 具体例 |
|---|---|
| 公的機関・団体 | 政府、自治体、病院、公立学校など |
| 大規模な監視処理 | 広告・マーケティング業、行動分析クラウドサービス、通信事業者など |
| センシティブ情報の大規模処理 | 医療機関、保険会社、労働組合など |
DPIAを実施すべきか、またDPOを任命すべきかの判断は難しい側面があります。
例えば、ゲームやエンタメコンテンツの配信事業については、一見するとDPIAやDPOの対象外にも思えますが、以下のような理由から対象となるリスクを慎重に評価すべきです。
- ユーザーの行動データ(閲覧履歴、プレイ傾向、課金履歴等)を収集・分析する場合、リスク評価のためのDPIAの実施や、DPOの任命が必要となる可能性がある。
- 特に未成年のユーザーのデータを扱う場合は、GDPR上「高リスク処理」とみなされることが多く、DPIAの実施義務が発生するリスクが存在する。
したがって、高リスク処理に該当する可能性が事業では、専門家と相談し、DPIAの実施要否や、DPOの任命の要否を慎重に検討することが重要です。
代理人の選任
GDPRにおいては、EU域外の事業者が、EU域内にいるデータ主体に関して個人データを処理する場合、現地代理人(EU Representative)の選任が義務付けられています。
この義務は、GDPR第3条第2項(域外適用)及び第27条(EU代理人)に規定されています。
GDPR3条2項:域外適用
本規則は、EU域内に拠点の管理者(Controller)または処理者(Processor)によるEU域内のデータ主体の個人データの取り扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供
(b) データ主体の行動がEU域内で行われるものである限り、その行動の監視
このため、日本の事業者がEU居住者に向けてBtoCサービス(アプリ、ECサイト、ゲーム等)を提供する場合には、原則としてGDPRが適用され、EU代理人の選任が必要となります。
GDPR27条 連合内に設立されていない管理者または処理者の代理人
- 第3条第2項が適用される場合には、管理者又は処理者は、書面により、連合内に代理人を指定しなければならない。
- 第1項に定める義務は、次のいずれかに該当する場合には適用されない。
(a) 一時的なものであり、かつ、第9条第1項に規定する特別な種類のデータの取扱い又は10条に規定する有罪判決及び犯罪行為と関連する個人データの取扱いを大量に含まず、かつ、その取り扱いの性質、過程、範囲及び目的を考慮に入れた上で、自然人の権利及び自由に対するリスクが生ずる可能性が低い取り扱い。
(b) 公的機関又は公的組織。 - 代理人は、データ主体に対する物品若しくはサービスの提供と関連してその個人データが取り扱われるデータ主体、又は、その行動が監視されるデータ主体のいる加盟国中の1つに設けられる。
- 本規則の遵守を確保する目的のために、代理人は、取扱いと関連するすべての事項に監視、特に、監督機関及びデータ主体への対応のために、管理者又は処理者に加え、又は、それらの者の代わりとして、管理者又は処理者から委任を受ける。
- 管理者又は処理者による代理人の指定は、管理者又は処理者自身に対して提起される訴訟行為を妨げない。
この「EU代理人の選任」は、EU進出時の実務上のハードルの一つです。
一般的には、現地の法律事務所などと契約を締結し、代理人として指定します。
この場合、月額固定費+稼働時のタイムチャージ等のコストを負担することとなります。
もっとも、代理人が実際に稼働する場面は限定的で、当職の経験上、過大なコストが発生する事例はほとんど見られません。
したがって、多くの場合、形式的な指定契約を結び、契約料+@程度のコストが発生するにとどまります。
英国の対応
以上がGDPRの概要と、主要な検討事項となりますが、英国(イギリス)はEUから離脱してしまったため、英国の対応をどうすれば良いかという問題が残ります。
この点、英国では、「UK GDPR」及び「Data Protection Act」が適用されますが、これらはGDPRをベースとしたものとなっており、制度趣旨や基本的な構造に大きな違いはありません。
したがって、実務上は、EUと英国を統一的に管理・運用する方針をとることが合理的といえます。
もっとも、代理人の選任義務については、EUと英国でそれぞれ独立に機能することになるため、EU及び英国の両方でBtoCサービスを展開する場合には、英国に1名、EU域内に1名の合計2名の代理人を選任する必要がある点に注意が必要です。
まとめ
今回は、日本法との違いも交えながら、EU進出時に特に対応が求められる主なポイントを整理しました。
実際には、ここで触れた以外にもより詳細な規定の検討や、個別対応が求められる場合がありますが、事業のEU展開を検討される際は、GDPR対応として、本稿で取り上げた事項を中心に検討を進めることが重要です。
弊所では、事業の海外展開を支援する際、各国の現地専門家と連携しながら、組織体制の構築、プライバシーポリシーや契約書の整備など、実務に即したサポートを行っております。
EU市場を含む海外事業展開をご検討の際は、お気軽にご相談ください。
