私立か公立かは問題か?
外国のデータ保護法の適用可能性と教育分野における代理人の要件。
データ保護は教育セクターにおいてますます複雑になってきている。新しい法律が施行されたり、ガイドラインが追加されたりして、絶え間ない変化に対応することが難しくなっています。さらに、民間企業から慈善団体、公的資金で運営されている機関まで、さまざまな方法で資金提供されている組織があるため、複雑さが増しています。 公共団体と民間団体の分類は、特定の適用除外の適用を決定する手段として一般的に用いられている。この記事では、個人情報保護法の域外適用範囲と、EUと英国のGDPR、トルコのKVKK、中国のPIPL、そして2023年9月からはスイスのDSGに基づく義務に従って、教育提供者が代理人を任命する必要性に焦点を当てます。 詳細については、アジアまたはアメリカでのウェビナーにお申し込みください。
プライバシー法の域外適用範囲
個人情報保護法の適用範囲は、その管轄区域の法律の範囲を示します。 特定の地域のデータ保護法が治外法権的範囲を有すると言われる場合、これは、それらの法律がその国または地理的地域の国境を越えて適用されることを示します。 世界中の個人情報保護法が更新されるにつれて、法制改革に域外適用という概念を含める法域が増えています。 従って、教育プロバイダーは、他の地域内の学生を対象とする場合、外国のプライバシー法に引っかかる可能性があります。 プライバシーは基本的人権であり、プライバシー法は、データを処理する組織がどこにあろうと、個人を保護しようとするものだからです。
この記事では、域外適用範囲を有し、海外組織に対して適用地域内に拠点を置く現地代理人を任命することを要求する主要なプライバシー制度、特にEUと英国のGDPR、トルコのKVKK、中国のPIPL、そして近々施行されるスイスのDSGについて見ていきます。 それぞれの域外適用範囲の文言は以下の通り:
| EU版GDPRは、EU域内に設立されていない管理者または処理者による、EU域内にいるデータ主体の個人データの処理に適用されます:
(a) 商品またはサービスの提供(ターゲティング基準)
(b) データ主体の行動の監視(監視基準)
|
| 英国GDPR|現在英国で施行されているGDPRは、EU域内にいない管理者または処理者による、EU域内にいるデータ主体の個人データの関連処理に適用されます:
(a)英国における商品またはサービスの提供、または(ターゲティング基準)
(b) イギリスにおけるデータ主体の行動の監視(監視基準)
|
| トルコのKVKK|トルコのKVKKは、個人情報が処理される自然人、および当該情報の全部または一部を自動化された手段または非自動化された手段により処理する自然人または法人に適用されるものとする。|
| 個人情報保護法(PIPL)|中国個人情報保護法(PIPL)は、中華人民共和国域内の自然人の個人情報を、中華人民共和国域外で取り扱う場合において、以下のいずれかの状況にあるときは、本法も適用されると規定している:
- 国境内の自然人に商品またはサービスを提供することを目的とする場合;
- 国境内の自然人の活動を分析または評価する場合;
- 国境内の自然人の活動を分析または評価する場合;
| DSG|スイスのDSGは、スイス国内に影響を及ぼすすべての事柄に適用される。
これらの地域の域外適用範囲に共通するテーマは、該当地域内の個人を対象とする域外の組織への適用です。 教育提供者の観点からこの点を考慮すると、以下の例を含む欧州データ保護委員会(EDPB)のガイダンスを参照することが有益である:
チューリッヒにあるスイスの大学は、修士課程の選考プロセスを開始し、候補者が履歴書とカバーレター、連絡先をアップロードできるオンライン・プラットフォームを利用できるようにした。この選考プロセスは、ドイツ語と英語の十分なレベルがあり、学士号を持つ学生であれば誰でも参加できる。また、スイスの通貨での支払いのみを受け付けています。
この修士課程の出願および選考プロセスにおいて、EU加盟国の学生を区別したり指定したりすることはないため、スイスの大学が特定のEU加盟国の学生をターゲットにする意図があるとは断定できません。ドイツ語と英語の十分なレベルは、スイス居住者、EU加盟国出身者、第三国からの学生を問わず、すべての志願者に適用される一般的な要件です。したがって、EU加盟国の学生を対象としていることを示す他の要因がなければ、当該処理がEU内のデータ対象者への教育サービスの提供に関連するものであるとは認められず、当該処理はGDPR規定の対象とはなりません。
スイスの大学では国際関係学の夏期コースも開講しており、コース受講者を最大化するため、ドイツとオーストリアの大学でこのコースを特別に宣伝しています。この場合、スイス大学には、EU域内のデータ主体にこのようなサービスを提供するという明確な意図があり、関連する処理活動にはGDPRが適用される。
外国の個人情報保護法が適用される可能性のある教育機関のその他の活動には、以下が含まれます:
- 見本市やロードショーなどを通じて、他地域の学生に対してマーケティングを行うこと;
- 国際ランキングへの参加
- 教育機関のウェブサイトに掲載されている留学生の声;
- 留学生の入学センター
- 学生交換プログラム
- 海外からの学生を誘致する目的でパートナーシップを結ぶ;
- 外国人スタッフの積極的な採用
代表者の任命要件
上記の各法域では、該当するデータ保護法の域外適用を受ける組織に対し、以下のように、該当する地域の現地窓口として代表者を任命することを義務付けています:
| EU GDPR|第3条(2)が適用される場合、管理者または処理者は、連邦内の代表者を書面で指名しなければならない、公的機関の適用除外|KVKK|トルコに設立されていないデータ管理者は、データ処理の開始前に、その代表者がVERBISレジストリに登録する義務があります、また、関連機関または代表者の氏名および連絡先を個人情報保護の職務を遂行する部門に提出しなければならない。|私的および公的||DSG|スイス国外に設立された管理者がスイス国内の個人情報を処理する場合、スイス国内の代表者を任命する:
- 処理が商品およびサービスの提供、または個人の行動の監視に関連している場合;
- 処理が大規模である;
- 処理が定期的である;
- 処理が自然人の権利および自由に対する高いリスクを伴う場合。
| 私的および公的
公的機関または団体に対する適用除外
表に示すように、GDPRは、公的機関や団体に対する代理人の任命義務の免除を定めた唯一のプライバシー法です。他の個人情報保護法には、このような適用除外は記載されていません。
GDPRの適用除外の根拠は、国家とそのすべての当局および機関の主権を侵してはならないというものです。したがって、公的権限の行使において個人データを処理するいかなる組織も、代理人を任命する必要はない。公的権限」の解釈は、機能的アプローチに従うものとし、主権的権限を行使する当局および機関は除外される。
このような適用除外が他の個人情報保護法に明確に含まれていないとしても、間違いなく同じ原則が適用され、主権を行使する公的機関や団体は適用除外される必要がある。
公的資金が投入されている場合、大学を公的機関に分類した判例はいくつもある。これらの決定はすべて、訴訟の対象となった大学が所在するのと同じ国のデータ保護当局が下したものである。高等教育は、公共の利益に適う業務と見なされる可能性がある。しかし、このような公益は、同じ国の学生に対してのみ主張できる。海外から学生を集めるために他の地域に働きかけることは、主権行使の免除の対象にはなり得ない。したがって、国境を越えた活動には、私的な商業目的が含まれる。
代表者の役割に関する実践的洞察
データ保護法の域外適用範囲は、データを処理する組織の所在地に関係なく、データ主体に個人情報に関する同じ権利、保護、救済手段を与えるように設計されています。 代理人の役割は、特にデータ主体、当局、および海外領土の企業が関与するプライバシ ーに関連するすべての問題について、海外組織を支援することである。 そのため、代理人は海外組織の代理人として行動し、個人およびその他の主要な利害関係者に、その地域の現地窓口を提供し、その地域に存在しない事業体へのアクセスを保護する。 これには主に2つの側面がある:
- コンプライアンスと説明責任:代理人の任命は、重要なコンプライアンス義務を果たし、多額の罰金のリスクを軽減する。代理人は、コンプライアンスを支援し、プライバシー関連事項の第一線の防御者となる。
- ビジネスの実現:データ保護規制を遵守することは、プライバシー保護と信頼関係の構築に対する組織の献身の証です。組織が地域内で代表者を任命しているかどうかは簡単に確認できるため、組織は信頼性と信用性を積極的に示すことができる。
代理人の役割は、多くの場合、関連するデータ保護法の要件に関する海外企業のガイダンスにまで及び、このような知識の共有により、企業は複数の非国内データ保護法の個別要件を理解し、満たすことができる。 特筆すべきは、監督当局が代理人を任命しなかったことを理由に強制措置を取るケースが増えていることである。EDPBは最近、EU域内の監督当局がEU域内に拠点を持たない組織に対してGDPRを執行する能力に関する調査を発表した。 ナミュール大学(ベルギー)のCRIDS(Centre de recherche, Information, Droit et Société)の研究者らによって実施されたこの独立研究は、「(監督当局の)調査権限および是正権限の行使には、管理者/処理者の代表者の任命が不可欠である」ことを明らかにした。
このような監督当局とのやり取りは、データ侵害管理という形でも行われ、代表者はデータ主体や当局への報告を含め、関連法の要件に沿ったデータ侵害の処理で海外組織を支援するために待機している。 これは、EU加盟国に代理人がいてもワン・ストップ・ショップ制度が発動されないことを明確にしたEPDBのガイダンスが最近更新されたことを受けて、EU GDPRに引っかかる組織にとって特に重要なことである。 つまり、海外の組織は、影響を受けるデータ主体がその加盟国に居住するすべての当局に通知する必要があり、これは、関連する海外事業体の委任に従って、代理人を通じて実施することができる。
全体として、優れた代理人は、その代理人が所在する地域のデータ保護規制、ガイドラインおよびベストプラクティスに関する豊富な知識を提供する。 代理人は、海外のデータ取扱者が海外の個人情報保護法をよりよく理解し、クライアントの組織が複数の法域にまたがる個人を対象としている場合、競合するデータ保護制度の複雑な適用をナビゲートする手助けをすることができます。 特に、中国(PIPL)やスイス(DSG)のように、ある管轄区域が新たに法改正を行い、代理人の選任が義務づけられた場合には重要です。 代表者は、このような新しい要件を解釈し、新しい法律の実施に関して新しいガイドラインが出現した際には、海外の組織に対して教育を行うことができる。 代表者は、国際的なデータ移転、移転影響評価など、複雑で頻繁に変更されるデータ保護に関するその他の問題についてもガイダンスを提供することができます。