EUに拠点がない企業でも、以下のような事業活動を行っている場合、GDPR第27条によりEU代理人を任命する必要があります：

• EU域内の個人に商品・サービスを提供している（例：EUの言語対応サイト、ユーロでの決済対応など）
• EU域内の個人の行動を追跡している（例：Cookieなどでの行動プロファイリング）

欧州データ保護会議（EDPB）が発行したガイドライン3/2018（GDPRの域外適用に関する指針）によれば、これは管理者および処理者の両方に適用されます。EU域内に拠点を持たない処理者については、GDPRの適用がその「処理活動」の内容に依存します。もし、その処理が管理者による商品・サービス提供や行動の監視に関係している場合、処理者にもGDPRが適用され、代理人の選任が必要になります。

事例①：オンラインゲーム企業：EU域外に拠点があるオンラインゲーム企業が、無料でEU域内のユーザーにゲームを提供し、これらユーザーのジオロケーション、ブラウザ情報、履歴を分析し広告に活用している場合、EU域内の市場をターゲットに行動を監視していると見なされます。これにより、EU代理人をEU加盟国に設置する法的義務が生じます。GDPR違反は高額な罰金やEU市場からの締め出しのリスクがあります。

事例②：B2B向けCRM SaaS：EU域外でCRM SaaSを開発し、EUデータ主体を対象とする企業に提供している場合、提供先企業がEU市場を狙っており、そのソフトがデータを処理・保存しているため、これも「商品・サービス提供＋行動監視」に該当します。この場合、EU代理人の設置義務が発生します。さらに、EUの取引先企業はデータ処理契約の締結とEU代理人設置を要求することも一般的であり、交渉段階でGDPR対応済みであることが信頼獲得につながります。

GDPR第27条によれば、管理者または処理者が以下の3つすべての条件を満たす場合に限り、EU代理人の任命義務が免除されます：

• 個人データの処理が「臨時的」であること（断続的かつ非体系的）
• 特定のセンシティブデータ（人種、健康情報など）や犯罪・有罪情報の大規模処理が含まれないこと
• データ主体の権利や自由にリスクを及ぼす可能性が低いこと

これらすべてを満たすのは非常に難しく、特に「臨時的な処理」に該当するかが多くの企業にとって大きなハードルとなっています。

EU域内の顧客との商取引関係を築く意図が、実際の事業活動として現れている必要があります。単にウェブサイトがEUでアクセス可能であること、EU内の住所や電話番号（国番号なし）を記載しているだけでは、EU市場を対象としている十分な証拠とはなりません。

欧州データ保護会議（EDPB）は、GDPRの適用範囲に関するガイドライン3/2018において、EU域内への提供とみなす際に考慮される要素を示しています。たとえば：

• EU加盟国の言語での表示、またはEU通貨による決済手段の提供
• GoogleやFacebook広告など、EU市場向けのマーケティング活動
• EUに関する言及や推薦文の掲載
• 観光など国際的な性質を持つサービスの提供
• EUからアクセスできる専用の連絡先や電話番号の記載
• EUの国別ドメイン（例：.de、.fr）の使用
• EU域内からの移動方法などの案内
• EU加盟国への商品の配送

要するに、EU向けの働きかけや、EU顧客が製品にアクセスしやすい仕組みがある場合は、GDPRが適用される可能性が高いといえます。

事例①：トルコ拠点の企業が、写真アルバムの作成・編集・配送サービスを英語、フランス語、ドイツ語、オランダ語で提供し、ユーロ・ポンドでの支払いを受け付け、配送先をフランス、ドイツ、ベネルクスに限定している場合、GDPRが適用されます。

事例②：スイスの大学が国際関係のサマーコースをドイツ・オーストリアの大学に向けて積極的に宣伝している場合、EU内の個人に対するサービス提供の意図が明確であり、当該データ処理活動にはGDPRが適用されます。

EU域内の個人データの収集・分析全てが自動的に「監視」に該当するわけではありませんが、監視とは「特定の目的を持ってデータを収集する意図」を意味します。そのため、プロファイリング技術の使用を含む、インターネット上でのあらゆる個人トラッキングは「監視」に該当します。EDPBのGuidelines 03/2018では、ウェアラブルやスマートデバイスを通じた監視も含まれると明確にされています。具体的には次のような監視活動が含まれます：

• ターゲティング広告
• マーケティング目的での位置情報取得
• Cookieや指紋認証を使ったオンライン追跡
• 個別の健康解析サービス
• CCTV（防犯カメラ）
• 個人プロファイルに基づく市場調査や行動調査
• 定期的な健康状態のモニタリングや報告

事例①：米国に本拠を置くマーケティング会社が、フランスのショッピングセンター向けにWi‑Fiトラッキングで顧客の動線を収集・分析し、店舗レイアウトの助言を行う場合、この活動はEUデータ主体の行動監視に該当します。

事例②：カナダのアプリ開発者がEUユーザーの行動を追跡するアプリを提供しており、そのデータ処理を米国の委託業者に任せている場合、GDPR（第3条2項b）が適用されます。

GDPRはその「域外適用」により、EU域外に拠点を置く管理者および処理者に対しても適用されます。これにより、EU域内に代理人を任命しなかった場合、最大で1,000万ユーロ、またはグローバル年間売上高の2％のいずれか高い方の罰金が科される可能性があります。

これらの制裁は、監督当局による行政処分または個人からの訴えを通じて執行されます。さらに、EUに所在する取引先が、あなたの会社への個人データの移転を停止しなければならなくなる可能性もあります。

代理人は、EU域外のコントローラーや処理者に代わり、当局や個人（データ主体）とのやり取り（連絡窓口）を円滑に進める役割を担います。代理人の任命は、書面による正式な委任契約が必要です。また、処理記録（第30条に基づく）を保管し、監督当局からの要請があれば提示できる体制が求められます。

• 当局およびデータ主体との円滑なコミュニケーションを実現するため、欧州各地にオフィスを展開し、高度な技術ソリューションを開発。
• 書面での正式な委任契約はオンボーディングの一環として行われ、クライアントはオンラインでエンドツーエンドのプロセスを通じて委任状に署名できます。
• 処理記録（GDPR第30条）作成のサポートとして、あらかじめ入力されたテンプレートを提供し、丁寧な支援とガイダンスを行います。

まず、EDPB（欧州データ保護会議）は、ガイドライン03/2018における「域外適用」の解釈で、EU加盟国のいずれか1箇所に代理人を選任すれば、他のすべての加盟国でもその代理人が対応できると明示しています。ただし、顧客の多くが特定の加盟国に集中している場合は、その国に代理人を置くことが理想的とされています。いずれにせよ、代理人はどの加盟国のデータ主体にとっても容易にアクセス可能である必要があります。

Prighterの対応方針

• Prighterは、主要なEU加盟国すべてに自社またはパートナーオフィスを有しており、その地域のデータ主体にとって利便性の高いローカル代理人を提供します。
• さらに、単なる郵便箱ではなく、現地にて実務に精通したプライバシー専門家が常駐しており、信頼性の高い対応が可能です。

Prighter の目指すところは、法務の専門知識と技術ソリューションの融合によって、非EU企業がGDPRを確実に順守できるよう支援することです。当社は法律事務所として、主要銀行や金融機関、テック企業のデータ保護責任者を務めた経験から得た実務的な洞察を、DSRやデータ侵害対応、処理記録管理などのツール開発に反映させています。プライバシー関連のすべてを支援するだけでなく、効率的かつ専門的な対応によって、顧客からの信頼向上を通じてビジネスの成長につながるようサポートします。

PrighterはGDPR第27条に定められたEU代理人業務を中心に、コンプライアンスの取り組みを「成果」として活かすためのツールやサービスを用意しています。詳細は「GDPR代理人サービス」ページをご覧ください。

• GDPR代理人：

PrighterのEU GDPR代理人プログラムに加入いただくと、貴社の正式な代理人として、EU内のデータ主体や監督当局からの要求に対して、当社の法務・プライバシー専門チームが最前線で対応します。

• 信頼の獲得：

ブランドに合わせてカスタマイズ可能な「コンプライアンスページ」をご提供。プライバシーポリシーやCookieポリシー、認証情報を掲載でき、外部への透明性と信頼性を高める場として機能します。このページからデータ主体からの要求も受け付け、弊社の専用ツールでスムーズに対応可能です。

• GDPRプライバシーツール：

データ主体からの要求（DSR）を効率的に処理するための専門ツールを提供。リスクを最小限に抑え、時間・コスト・社内リソースの削減につながります。また、監督当局からの標準的な要求（例：処理記録の提出）にも対応。データ侵害時には、迅速な対応を可能にするツールとサポートも完備しています。

ここが当社の強みです。独自開発したDSR（データ主体要求）管理ツールにより、クライアントや当局から届くすべてのプライバシー関連の要求を集約、構造化、フィルタリングします。
AI技術を活用し、数百万人規模の要求でも一つのツールで対応可能です。データ主体とのコミュニケーションなど、DSR対応のすべての正式プロセスをサポートします。実際にデータベース上で「データ主体の削除」などの処理を行うかどうかは、最終的には貴社のご判断となります。DSRツールは、要求のライフサイクル全体において形式的対応を正しく行うための支援として、アドバイスのフレームワークを提供します。詳しくはこちらをご覧ください。

データ保護責任者（DPO）の任命が義務付けられるのは、以下のいずれかに該当する場合です：

• 公的機関または公的組織によって個人データの処理が行われる場合（ただし、裁判所が司法権を行使する場合は除く）
• 企業の主要な業務が、本質・範囲・目的のいずれかにおいて、大規模かつ定期的・体系的にデータ主体を監視する処理で構成されている場合
• 企業の主要な業務が、GDPR第9条に基づく特別カテゴリの個人データや、第10条に基づく犯罪歴などに関するデータを大規模に処理することに関係している場合

これらの基準の解釈については、「Art. 29 Working Party on Data Protection Officers」によるDPOに関するガイドラインに詳述されています。

DPOの任命要件と比較すると、GDPR代理人（Art. 27）の任命は、EU内の個人に対して商品やサービスを提供する場合や、その行動を監視する場合に必要とされます。

つまり、DPOの要件は「高リスクな処理」に関するものであり、GDPR代理人の要件は「EU域内に対して可視的なデータ処理活動」がある場合に発生します。

DPO（データ保護責任者）：企業内の個人データ保護に関するすべての問題に関与し、GDPR遵守状況の監視、データ保護影響評価（DPIA）への支援、管理層へのプライバシーバイデザイン・バイデフォルトに関する助言などを行います。そのために、日常的な業務に近く、本社もしくは主要拠点の近くに配置されるのが望ましいです。

EU GDPR代理人：EU内に設立拠点がない企業に代わって、EU拠点に準じた役割を担いますが、実際には距離を置いて活動します。支店や子会社の代替として、EU当局やデータ主体からの連絡窓口となります。

いいえ、DPOと代理人の役割には利害の衝突が生じるため、兼任はできません。EDPB（欧州データ保護会議）は、ガイドライン03/2018（GDPRの域外適用に関する指針）において、法執行手続に関する義務や利害の対立が発生し得るとして、DPOと代理人の兼務を認めていません。特に、両者の責任範囲や義務における整合性の確保という点で、役割の両立は困難とされています。

登録はとても簡単。数分で完了できます：

1. まずは無料でお試し
   　最初の14日間は完全無料でお使いいただけますので、リスクなしで始められます。
2. 御社に合ったプランを選ぶ
   　従業員数（パートタイムや業務委託を含む）に基づいて、最適なプランをご提案します。
3. 会社情報を入力
   　簡単なフォームに沿って御社の基本情報をご入力ください。
4. 委任状のダウンロードと提出
   　Prighterが正式な代理人であることを示すため、委任状にご署名いただき、アップロードをお願いします。
5. 内容の確認・承認
   　弊社が内容を確認し、通常数時間以内に承認いたします。
6. 代理人任命が完了
   　承認が完了次第、正式にPrighterがEU代理人となり、専用ポータルがご利用可能になります。
7. トライアル開始
   　これで14日間の無料トライアルがスタートします。

DPO（データ保護責任者）の任命とは異なり、代理人の任命については監督当局への通知は必要ありません。監督当局が企業に関する照会を行う場合、企業のプライバシーポリシーから必要な情報を取得します。

ただし、NIS代理人としてPrighterを任命した場合には、該当する監督当局にその旨を通知する必要がありますので、ご注意ください。

GDPR第27条に基づき、それぞれの法人には個別の代理人任命が必要です。ただし、Prighterでは、グループ企業の代理人業務を一括で管理できる「グループパッケージ」をご用意しています。親アカウントで各子会社のサブアカウントを管理する形で、まとめてご利用いただけます。
このパッケージをご利用いただくには、グループ内でデータ保護管理の責任部門を1つ選定し、親アカウントとサブアカウントを一括で管理していただきます。
対象となる子会社の数は、契約するパッケージによって異なります。

• 「スモールエンタープライズ」パッケージ：2社まで
• 「ミディアムエンタープライズ」パッケージ：5社まで
• 「ラージエンタープライズ」パッケージ：無制限

なお、対象となるグループ企業は、同じ業種に属し、同じ製品または関連ブランドを展開している必要があります。

料金は、Eurostat（欧州統計局）の基準に基づく貴社の規模と、カバー対象の法人の数によって決まります。料金は月額10,000円からとなっており、すべてのプランに14日間の無料トライアルが付いていますので、契約前にサービスを十分にご確認いただけます。

当社の料金体系は透明性が高く、データ主体からの要求ごとに追加料金が発生することはありません。お支払いは月払い、四半期払い、年払いから選択でき、年払いは最もお得な割引が適用されます（四半期払いでも割引あり）。

お支払い方法はクレジットカードまたは銀行振込からお選びいただけます。クレジットカードはほぼすべてのブランドに対応しており、銀行振込はEUR、USD、GBPに対応（年払いのみ）しています。ご不明な点がございましたら、お気軽にサポートチームまでお問い合わせください。

GDPRはEUの規則であるため、一般的にはBrexit後の英国には適用されなくなります。ただし、英国政府はGDPRを英国のデータ保護法に組み込んでおり、2021年1月1日以降は「UK GDPR（英国版GDPR）」が施行されています。

UK GDPRはEU版GDPRとほぼ同様の要件を定めているため、すでにEU GDPRに準拠している企業は大きな修正を行う必要はありません。ただし、国境を越えた取引がある場合は、UK代理人の任命や、英国との間の国際的なデータ移転に関する追加要件に対応する必要が生じる可能性があります。

イギリス政府は、2021年1月1日以降、イギリスに本社・支店・事務所など拠点を持たない、国外（EUやそれ以外）の企業は、以下いずれかの活動をしている場合には代理人の任命が必要であると明言しています：

• イギリスの個人向けに商品やサービスを提供している
• イギリスの個人の行動を追跡・監視している

（参考：ICO「UK代理人に関するFAQ」）

EDPB（欧州データ保護会議）は、GDPRの適用範囲と代理人の任命に関するガイドライン（Guideline 3/2018）を公表しています。これらのガイドラインはもはやイギリスの法律には直接適用されませんが、ICOは、特定の問題を検討する際に依然として有用であるとしています。そのため、イギリス政府が新たな規則を採用しない限り、GDPRの適用範囲を判断するうえで、EDPBのガイドラインが参考になります。

ガイドラインによると、企業がイギリスの個人向けに商品やサービスを提供しているかを判断する際には、以下のような要素が考慮されます：

• イギリスで使用されている言語を使用し、通貨としてポンド（GBP）を提示している
• イギリスの個人を対象にした広告やマーケティング活動を行っている
• イギリス国内から連絡可能な住所や電話番号を掲載している
• イギリス向けのトップレベルドメイン（例：.uk）を使用している
• 商品の配送先としてイギリスを含んでいる

EDPBガイドライン（Guidelines 3/2018）は、イギリスで行動モニタリングが行われているかを判断する際の指標として有用です。EDPBの定義によれば、モニタリングはインターネット上だけでなく、ウェアラブル端末やその他のスマートデバイスを通じても行われます。主なモニタリング活動の例は以下の通りです：

• 行動ターゲティング広告
• 位置情報取得（ジオロケーション）
• クッキーなどの追跡技術を用いたオンライン・トラッキング
• 個人の行動プロファイルに基づく市場調査や行動分析
• 防犯や監視目的のCCTV

はい、あります。まず、公的機関に該当する場合は、イギリス代表者を任命する必要はありません。
また、以下のすべての条件を満たす営利企業であれば、代表者の任命義務から免除されます：

• 個人データの処理が「時折的（occasional）」であること
• データ主体の権利保護に対するリスクが低い処理であること
• 特別なカテゴリデータや犯罪歴に関するデータの処理が「大規模でない」こと

ただし、これらすべての要件を満たす企業は非常に少ないため、実際に例外として適用できるケースはまれです。
（参考：ICO「UK代表者に関するFAQ」）

代理人の選任が義務付けられているにもかかわらず選任していない場合、最大で870万ポンドまたはグローバル年間売上高の2％のいずれか高い方の罰金が科される可能性があります。

イギリスGDPRに基づく法的義務を担うプライバシー代理人には、単なる郵便受けではなく、イギリス国内に拠点を置く資格を持つプライバシー専門家であることが求められます。代理人は書面で任命され、代理人を通じてイギリスGDPRへの準拠を担保するとともに、イギリス国内のデータ主体や監督当局（ICO）との窓口として機能します。

Prighterはどのようにこれらの要件を満たしているのでしょうか？

• Prighterグループ元のイギリス法人であるPrighter Ltdが提供するプライバシー代理人サービスで、Maetzler Rechtsanwalts GmbH & Co KGのグループ体制を背景にしています。
• イギリスに拠点を置く、訓練を受けた弁護士やプライバシー専門家が所属し、国内外を問わず対応が可能です。
• 任命はオンボーディングの流れでオンライン完結。委任状（PoA）は開始時にデジタル署名で交付されます。

（参考：ICO「UK代理人に関するFAQ」）

Prighterでは、イギリスに子会社や支店などの拠点を持たない企業が、法的専門知識とテクノロジーを組み合わせた手法でイギリスのプライバシー規制に準拠できるよう、サポートしています。

メジャー銀行や金融サービス企業、テクノロジー企業などのデータ保護責任者（DPO）を務めた実務経験をもとに、データ主体要求（DSR）対応やデータ侵害対応、処理活動記録の管理に特化したツールを開発してきました。

あらゆるプライバシー関連事項に対応するのはもちろん、効率的かつ専門的にプライバシー対応を行うことで、企業の顧客信頼を高め、ビジネスの成長につなげることを最も重視しています。

当サービスの中核は、UK GDPR第27条に基づく代理人選任です。この要件に加え、効率性の向上や取引先・顧客の信頼獲得を支援するため、以下の機能・サービス・ツールを構築しています。詳細はこちらをご覧ください。

• UK代理人サービス：UKプライバシー代理人プログラムにご加入いただくことで、当社が正式な代理人として任命されます。弁護士やプライバシー専門家で構成された高い専門性を誇るチームが、データ主体からの要求や監督当局からの問い合わせ対応を全面的にサポートします。
• 信頼の獲得：貴社専用のコンプライアンスランディングページをご提供。ブランドに合わせたカスタマイズはもちろん、プライバシーやセキュリティ関連の証明書、プライバシー／クッキーポリシーを掲載できます。顧客やパートナーへ貴社の準拠状況を明確に示せる窓口として、要求の受け口兼対応プラットフォームとして機能します。
• プライバシーソフトウェアツール：既存または将来のクライアントからのデータ主体要求（DSR）を一括管理できるツールを提供。時間・リソース・コストを削減し、コンプライアンスリスクを大幅に軽減します。さらに、ICOからの標準的な要求（例：処理活動記録の提出依頼）にも対応済みです。

ここが当社の強みが発揮される部分です。Prighterでは、データ主体要求（DSR）管理ツールを開発し、クライアントや監督当局から届くすべてのプライバシー要求を一元的に受け付け、構造化し、フィルタリングします。独自のAI技術により、数百万件規模の要求もこのツール1つで対応可能です。

DSRツールは、データ主体とのやり取りを含む正式な処理要件すべてに対応し、それらをサポートします。実際にデータベース上で行う操作（例えば対象者の削除）は、常にお客様自身が決定します。本ツールは、要求のライフサイクルを正確に管理し、制度上の要件を満たすとともに、判断に役立つガイダンスの枠組みを提供する設計です。

「Prighter DSR」を見る

一般に、EU/EEA（欧州経済領域）に拠点（本社・支店など）を持たない企業は、以下に該当する場合、GDPR第27条に基づくEU代理人の選任が必要です：

• EU/EEAの個人に商品やサービスを提供している
• EU/EEAの個人の行動をモニタリングしている

Brexit以降、イギリスはEUの加盟国ではなくなり、イギリスに拠点があってもEU/EEA内の拠点とはみなされません。従って、このルールはイギリス企業にも適用されます。つまり、EU/EEA市場に拠点なしで商品・サービス提供や行動モニタリングを行っているイギリス企業は、GDPR第27条に基づくEU代理人を選任しなければなりません。

公的機関の場合、代理人の選任義務は適用されません。
また、以下すべての条件を満たしている場合は、この義務から免除されます：

• 個人データの処理が一時的である（断続的かつ非体系的である）
• 処理がデータ主体の権利に与えるリスクが低い
• 処理が特別なカテゴリのデータや犯罪に関するデータを大規模に扱うものではない

Art. 27 GDPR代理人の選任に関するさらなるご質問については、「EU GDPRに関するFAQ」をご参照ください。

イギリスおよびEU/EEAのいずれにも拠点がなく、

• EU/EEAの個人に対して商品やサービスを提供している、または
• EU/EEAの個人の行動をモニタリングしている

…企業は、EUの規則とイギリスの規則の両方に準拠するため、EUとイギリスの両方で代理人を選任する必要があります。

PrighterはEUとイギリスの両方にオフィスを構えているため、EU代理人およびイギリス代理人の両方のサービスを提供可能です。

手続きは迅速かつ簡潔で、数分で完了します。以下のポイントでリスクなく進められます：

1. リスクゼロの14日間無料トライアルを提供
   代理人任命が完全にリスクなしで行えます。
2. プランを選択
   会社規模（Eurostatの分類／従業員数で定義）に応じたプランをご用意。従業員にはパートタイマーやフリーランスも含まれます。
3. 会社情報の入力
   これを完了すると、無料トライアルが開始されます。
4. 委任状（PoA）のダウンロード
   登録後、「委任状をダウンロード」できます。代理人任命の証拠として、監督当局からの要求時に使用されます。署名後、アップロードをお願いします。
5. 情報とPoAの確認
   当社チームが数時間以内に内容を確認・審査します。
6. 代理人任命の完了
   PoA承認後、Prighterが正式にイギリスプライバシー代理人として任命されます。クライアント専用画面にログインでき、委任状、ホームページ・プライバシーポリシー用のテンプレートなどをご利用いただけます。

DPOの任命と異なり、プライバシー代理人の選任についてはICOへ通知する必要はありません。ICOが企業について照会する場合は、企業のプライバシーポリシーに記載された情報を参照します。

ただし、UKプライバシー代理人とは異なり、NIS代理人の任命はICOへの通知が必要ですのでご注意ください。

UK GDPR第27条に基づき、各法人には代理人が必要です。しかし、Prighterではグループ向けパッケージもご用意しております。

それぞれの法人には個別に代理人が必要です。ただし、Prighterグループパッケージでは、1つのメインアカウント＋各グループ企業用サブアカウントで代理人契約を一括管理できます。内部での中央管理拠点を1つ選定し、メインとサブの一元ログイン運用となります。

対応可能なグループ企業数はプランによって異なります：

• 「スモールエンタープライズ」パッケージ：2社まで
• 「ミディアムエンタープライズ」パッケージ：5社まで
• 「ラージエンタープライズ」パッケージ：無制限

なお、対象となるグループ企業は、同じ業種に属し、同じ製品または関連ブランドを展開している必要があります。

定額制で、Eurostat分類（従業員数ベース）およびカバー対象法人数で料金が変わります。月額19ユーロ〜。全プランで14日間の無料トライアルをご利用いただけるため、安心してお試しいただけます。

料金体系は明朗で、データ主体からの要求ごとの追加請求はありません。月次・四半期・年次払いが可能で、四半期払いには割引、年次払いにはさらに大きな割引があります。

支払方法はクレジットカードまたは銀行振込を選択可能。銀行振込は年次契約時に EUR／USD／GBP に対応しています。

ご不明点があれば、サポートチームまでお気軽にお問い合わせください！

DSAは、デジタル空間における違法・有害なコンテンツや商品、そして誤情報の拡散を抑制することを目的としています。これにより、利用者の安全を確保し、基本的人権を保護し、公正で開かれたオンラインプラットフォーム環境の実現を目指しています。

DSA（デジタルサービス規則）はEU規則にあたり、EU加盟国すべてにおいて国内法への転換なく直接適用されます。EU全体での法的統一を図り、規制のバラつきによって単一市場が損なわれることを回避するため、連合レベルの規則として制定されています。

国内では、DSAに基づく業務を担うのは単一の当局ではなく、各国法によって複数の当局に権限が付与される場合があります。これらの当局を統括し、連携を図るために、各加盟国はデジタルサービスコーディネーターを指定して、単一の連絡窓口としています（各国のリストはこちらをご覧ください）。

EUレベルでは、欧州委員会と欧州デジタルサービス理事会（European Board for Digital Services）が、実施ガイダンスの発行から監督業務まで、幅広い役割を担っています。

DSAは、デジタル市場規則（DMA）と共にデジタルサービス法パッケージを構成しています（詳細はこちら）。
さらに、この全体枠組みはヨーロッパのデジタルアジェンダの一環として位置付けられています（詳細はこちら）。

DSAは、オンライン仲介サービスに適用されます。特に、ホスティングサービス、オンラインプラットフォーム、および「超大規模オンラインプラットフォーム」（VLOPs）と「超大規模オンライン検索エンジン」（VLOSEs）に対しては、追加の規定が設けられています。

これらの仲介サービスを提供する場合、提供者の設立場所がどこであっても DSAの規定が適用されます。

DSAは、提供者の設立場所にかかわらず適用されます。そのため、仲介サービスを提供する非EUの事業者も、消費者や企業、その他の利用者に対してサービスを提供する場合には、域外適用の対象となります。

仲介サービスが「提供」とみなされるには、以下の2つの要件が必要です：

• EU内の利用者がアクセスできる
• EUとの「実質的な関連性」がある（EUにおける利用者数やEU向けマーケティング活動等が該当）

「利用者数の条件」が満たされるかは、加盟国の一つまたは複数において、利用者数が全体の利用可能な人口に比してどれほどの規模かで判断されます。

プロバイダーがEU内の利用者をターゲットとしているかどうかは、以下のすべての状況を考慮して判断されます：

• 使用言語や通貨がその国に特有であること
• EUの国ごとに注文可能であること
• 関連する国のトップレベルドメイン（.fr、.deなど）を利用していること
• アプリが該当国のアプリストアで提供されていること
• 現地言語で広告を出していること
• 現地語でカスタマー対応していること

単にEU域内から技術的にアクセスできるだけでは、EUとの「実質的な関連性」を示すには不十分です。

DSAによる他の業種分類に関係なく、以下のサービスはすべて「仲介サービス」に該当します：

• 「単なる導管」であるサービス（Mere Conduit）：
  サービスの利用者によって提供される情報の通信ネットワークでの送信、又は通信ネットワークへのアクセスを提供するサービス。インターネットサービスプロバイダー（ISP）など
• キャッシングサービス（Caching）：
  情報の自動的、中間的、又は一時的な保存を含むサービスの利用者によって提供される情報の通信ネットワークでの送信で、他の利用者の要求に応じて情報をより効率的に転送することのみを目的として実行されるサービス。コンテンツ配信ネットワーク（CDN）など
• ホスティングサービス（Hosting）：
  サービスの利用者によって提供された情報及び利用者の要求に応じた情報を保存するサービス。クラウドサービス、ウェブホスティング、有料リファレンスサービス、ファイルの保存・共有などのオンライン情報プラットフォームなど

ユーザーが提供する情報を保存・管理するサービスのことです。

例として、クラウドコンピューティング、ウェブホスティング、有料リファレンスサービス、ファイル保存・共有機能などが含まれます。

DSAにおいて、オンラインプラットフォームは、販売者と消費者をつなぐサービスです。
（例：オンラインマーケットプレイス、アプリストア、シェアリングエコノミー・プラットフォーム、ソーシャルメディア・プラットフォーム）

欧州において4億5,000万人の消費者のうち10%以上にリーチするオンラインプラットフォームおよび検索エンジンは、「非常に大規模な」もの（VLOPs・VLOSEs）として分類されます。

これらには、違法コンテンツの拡散や社会的な悪影響といった特有のリスクがあるため、特別な規制が適用されます。

第一に、法的代理人は主管当局、欧州委員会、欧州デジタルサービス理事会との連携・調整を円滑に行う役割を担います。

また、サービス利用者やTrusted flaggers（SNSやビデオプラットフォーム上で、「ヘイト（誹謗）」、「フェイク（嘘）」など違法な発信を探し出す機関のこと）との窓口にもなります。運用上は、電子的な連絡窓口としても機能し、多様なステークホルダーとのコミュニケーションを容易にします。

DSAの適正運用と必要に応じた監督・執行を確実にするため、法的代理人には規則違反に対して責任追及を受ける可能性があります。ただし、仲介サービス提供者自身に対する責任や法的措置を阻害するものではありません。

仲介サービス提供者は、法的代理人が主管当局との連携に必要な権限・リソースを備えていることを確保すべきです。具体的には、国内・欧州レベルの当局への対応に十分な資格・経験を保持していることが求められます。

ネットワーク・情報システムのセキュリティ指令 (NIS2) は、初版NIS指令を改訂し、EUの重要セクターや重要サービス領域のサイバーセキュリティを強化するために、より多くの業界へ適用範囲を拡大し、要件を厳格化しています。

対象は以下の組織です：

• 重要インフラ事業者（OES）：エネルギー、銀行、交通、デジタルインフラ、ICTサービス管理（B2B）など
• 重要サービス事業者：郵便、廃棄物管理、研究、デジタルサービス提供者など

適用対象となるのは：

• 規定された閾値を満たす企業
• EU内に拠点を持つ企業
• EU圏外に本社を持つが、EU内でサービスを提供する企業

デジタルサービス提供者（Digital Service Provider）とは、デジタルサービスを提供する法人または組織のことを指します。

• オンラインマーケットプレイス：
  　アプリストアなどの、販売や契約を容易にするプラットフォーム。第三者サービスへの仲介にとどまり、最終的に契約が成立する形態は含まれません。
• オンライン検索エンジン：
  　ウェブサイト検索を可能にするサービス。特定サイト内検索（外部検索エンジンを利用していても含む）はNIS指令の対象外です。また、異なる事業者の商品・サービス価格を比較してユーザーを誘導するサービスも対象外です。
• SNSプラットフォーム提供者：
  　複数デバイス間で利用者のコミュニケーションやコンテンツ共有を可能にするサービス。

• インターネットエクスチェンジポイント（IXP）提供者：
  　複数の自律システムを相互に接続するネットワークを提供する事業者。
• DNSサービス提供者（ルートネームサーバー運営者は除く）：
  　ドメイン名の解決（名前→IPアドレス変換）を行うサービス提供者。
• TLD（トップレベルドメイン）登録機関：
  　特定のTLDの管理を委任された組織で、そのTLDに属するドメイン名の登録およびTLDの技術運用を担います。
• クラウドコンピューティングサービス提供者：
  　ネットワーク、サーバー、ストレージ、アプリケーションなどをスケーラブルかつ柔軟に共有できるインフラを提供します。クラウドサービスとみなすには、以下の3つを満たす必要があります：
  • リソースの拡張性（Scalable Resources）
  • 弾力的なリソースプール（Elastic Pool）
  • 複数ユーザー間での共有（Shareable）
• IaaS、PaaS、SaaSなどの異なるビジネスモデルも、NIS2の対象に含まれます。
• データセンターサービス提供者：
  　IT・ネットワーク機器を収容し、データの保存・処理・通信を支える施設。電力供給や空調などのインフラを備えます。
• コンテンツ配信ネットワーク（CDN）提供者：
  　地理的に分散したサーバー群を使い、高可用性・高速配信を実現する仕組み。コンテンツ・サービス提供者に代わってユーザーへデジタルコンテンツを配信します。
• 信頼サービス提供者：
  　電子署名、電子シール、タイムスタンプ、記録型配信サービス、関連証明書の生成・検証・認証を報酬を得て提供。ウェブサイト認証用証明書の生成・検証・認証、電子署名・電子シール・証明書の保全も含まれます。
• 公衆電子通信ネットワーク提供者：
  　有線・無線・光などの媒体を通じて信号を伝えるインフラを提供する事業者。衛星・インターネット・携帯・ケーブル、ラジオ・テレビ放送システムも対象です。
• 公衆向け電子通信サービス提供者：
  　通常報酬を伴うサービスで、以下を含むもの。ただしコンテンツの提供や編集管理を主目的とするサービスは含みません：
  • インターネット接続サービス
  • 相互通信サービス（インターパーソナル）
  • 機械間通信や放送など、信号伝送を目的としたサービス

• マネージドサービスプロバイダー（MSP）：
  　ICT製品、ネットワーク、インフラ、アプリケーション、その他ネットワーク・情報システムに関し、導入・管理・運用・保守を支援または実施する事業者です。オンサイトまたはリモートでサービスを提供します。
• マネージドセキュリティプロバイダー（MSSP）：
  　サイバーセキュリティリスク管理に関連する活動を実施または支援する事業者を指します。

EU内でサービスを提供しているかを判断する際に重要なのは、どの市場を対象としているかです。意図を見極めるためにはいくつかの要素が考慮されます。

単に企業や仲介業者のウェブサイトが閲覧可能だったり、Eメールアドレスや連絡先が表示されていたり、設立地域で一般的に使われる言語が使用されているだけでは、EU内での展開意図を判断するには不十分です。
代わりに、以下のような要素がEU外からでも提供を意図している証拠となります：

• EU加盟国内で一般に使用される言語や通貨を使用している
• サービスをその言語で注文可能にしている
• EU内にいる顧客やユーザーの存在を言及している

以上のような意図が認められる場合、EU域外でも、該当のデジタルサービスは対象となり得ます。

EUに拠点がない企業で、上記のように意図的にサービスを提供している場合は、一般にNIS代理人の選任が義務付けられます。ただし、NIS2指令および代理人選任義務は、一定の企業規模以下の場合は適用されません。

対象外となるのは以下の企業です：

• 小規模企業：従業員数が50名未満、年間売上または総資産が1,000万ユーロ以下
• マイクロ企業：従業員数が10名未満、年間売上または総資産が200万ユーロ以下

従って、これらの条件を満たす企業であれば、NIS2適用において代理人を選任する必要はありません。

NIS2の対象となる企業に課される主な義務は以下の通りです：

1. サイバーセキュリティのリスク管理措置
   デジタルサービス提供者（DSP）は、EU内でサービスを提供する際に利用するネットワークおよび情報システムに対して、適切かつ相応の技術的・組織的対策を講じる必要があります。
2. 報告義務
   重大なサイバーセキュリティ事件が発生した場合、定められた報告スケジュールに従って当局およびCSIRTなどに報告する必要があります：
   • 24時間以内の早期警告：重大インシデントを認識した時点で、違法行為や域を跨ぐ影響の可能性を含めて報告
   • 72時間以内のインシデント通知：最初の評価、深刻度、影響範囲、侵害指標を含む詳細通知
   • 中間報告：当局またはCSIRTから要求があった場合に進捗状況を報告
   • 1か月以内の最終報告：インシデントの詳細、原因、対応策、域を跨ぐ影響の可能性を含む総括報告
3. 代理人の選任
   EUに拠点がないが特定サービスを提供する企業は、EU内に代理人を選任する必要があります。対象サービスには以下が含まれます：
   • DNSサービス提供者
   • TLD登録機関
   • ドメイン名の登録を提供する事業者
   • クラウドコンピューティングサービス提供者
   • データセンターサービス提供者
   • CDN提供者
   • MSP
   • MSSP
   • オンラインマーケットプレイス提供者
   • オンライン検索エンジン提供者
   • SNSプラットフォーム

GDPRと違い、NIS2は統一法ではなく、各加盟国が独自に導入した法律に基づきます。対象企業が要件を満たす場合、準拠すべき対象は以下のとおりです：

• EU域内に拠点がある場合：本社または主たる事業拠点の所在国の国内法が適用されます。
• EU外に拠点がなくてもサービス提供している場合：サービス提供国のいずれかの加盟国に代理人を選任する必要があります。その際、その国の国内法の管轄下に入ります。

NIS2指令第26条第3項（および多くのEU加盟国における国内法への移行規定）によると、以下の条件を満たすデジタルサービス提供者（Digital Service Provider）は、EU内で代理人を選任しなければなりません：

• EU域内に設立されていない
• EU域内で対象となるデジタルサービスを提供している

NIS2法はEU指令として各加盟国が個別に実施しているため、罰則規定も国ごとに異なります。
しかし、加盟国は法に基づき、セキュリティ対策およびインシデント対処の義務違反に対して罰金の枠組みを設ける必要があります。法によれば、重要インフラ事業者（essential entities）は最大1,000万ユーロまたは世界年間売上高の2%のどちらか高い金額、重要サービス事業者（important entities）は最大700万ユーロまたは世界年間売上高の1.4%の罰金が科される可能性があります。

• 代理人は、デジタルサービス提供者、デジタルインフラ提供者、ICTサービス管理事業者から文書による明確な委任を受け、正式に指名されている必要があります。
• 関連する監督当局やCSIRT（サイバーセキュリティ・インシデント対応チーム）が、代理人と連絡を取れる体制が整っていることが必要です。代理人は現地での窓口として機能します。
• 代理人は、NIS法に基づくインシデント報告などの法的義務に関して、当該提供企業を代表して行動します。
• また、代理人自身が設立されている国内法に則って義務を果たす必要があります。

Prighterは、委任状を自動生成し、オンラインまたは紙で署名できる完全デジタルのオンボーディングプロセスを備えています。また、関連するデータ保護当局との専用連絡チャネルもご用意しています。

イギリスにおいて、ネットワークおよび情報システム（NIS）規則は引き続き完全に適用されます。

元々はEUのNIS指令を基にしていましたが、イギリスではこれを「UK NIS規則2018」として国内法に移行しました。ブレグジット後もこの規則は維持されており、国内のネットワークと情報システムのセキュリティを強化するために有効に機能しています。そのため、UK NIS規則は現在も効力を持ち、法的拘束力があります。

UK NIS規則2018は以下の対象に適用されます：

• 重要サービスの運営事業者（OES）：エネルギー、銀行、交通、医療、水道、デジタルインフラなどの分野に属する組織
• デジタルサービスプロバイダ（DSP）：オンライン検索エンジン、オンラインマーケットプレイス、クラウドコンピューティングサービスなど

この規則は以下の条件を満たすDSPに適用されます：

• オンライン検索エンジン、オンラインマーケットプレイス、またはクラウドコンピューティングサービスのいずれかを提供している
• 従業員が50人以上、かつ年間売上高またはバランスシート合計が1,000万ユーロを超えている（中小企業の定義を超える場合）

なお、本社がイギリス国外にある場合には、UK拠点の代表者（代理人）を任命する必要があります。

UK NIS規則により、これらの組織は強固なセキュリティ対策の実施と重大インシデントの報告が求められ、イギリス国内の重要サービスのレジリエンスとセキュリティ確保に貢献します。

デジタルサービス提供者（DSP）とは、イギリスのネットワークおよび情報システム（UK NIS）規則の対象となるデジタルサービスを提供する法人を指します。ただし、すべてのデジタルサービスが該当するわけではなく、対象となるサービスは以下に限られます。

• オンラインマーケットプレイス：
  　消費者と事業者がオンラインで売買やサービス契約を成立させるプラットフォーム。契約の締結が最終的に行われる場所を意味します（例：サードパーティ製アプリを配信するアプリストアなど）。ただし単に第三者サービスへの仲介を行うオンラインサービスは含まれません。
• オンライン検索エンジン：
  　ユーザーがキーワード検索でウェブサイトを検索できるサービス。多言語対応の検索エンジンも含まれますが、特定ウェブサイト内のコンテンツのみを検索対象とするものや、複数の販売者の価格比較後にリンクを提供するだけのサービスは対象外です。
• クラウドコンピューティングサービス：
  　ネットワーク、サーバー、ストレージ、アプリ、サービスなどのスケーラブル・エラスティック・共有可能なコンピューティング資源へのアクセスを提供するサービス。要件は以下の3点です：
  • リソースの拡張性（Scalable Resources）
  • 弾力的なリソースプール（Elastic Pool）
  • 複数ユーザー間での共有（Shareable）

IaaS（インフラ）、PaaS（プラットフォーム）、SaaS（ソフトウェア）などのビジネスモデルも、NIS2の対象に含まれます。

免除規定：小規模・零細事業者
以下の条件を満たす事業者は、対象外とみなされ、NIS規則の適用を受けません：

• 従業員数が50人未満、かつ
• 年間売上または貸借対照表合計が1,000万ユーロ未満

ただし、グループ全体の合算した数値がこれらを超える場合は適用外となります。

イギリスでサービスを提供しているかどうかを判断するには、自社がどの市場を対象としているかを判断する必要があります。
単に英語でウェブサイトが閲覧可能であることは、イギリス市場を対象にしている意図を示すものとは言えません。
以下のような要因が重要です：

• 英語やイギリス通貨の使用：料金をポンド（GBP）で表示したり、英語でコンテンツを提供したりしている場合は、イギリスの顧客を対象としている意図があると見なされます。
• 注文機能の有無：イギリス市場向けに設計された商品やサービスを注文できるようにしている場合は、イギリスでサービスを提供しているとみなされます。
• マーケティングおよびターゲティング活動：イギリスに向けた広告キャンペーンや、イギリスに拠点を置くカスタマーサポートを提供している場合は、その地域でサービス提供していると見なされる可能性が高くなります。

一定の条件下では免除されます。

イギリスに拠点がなくても、イギリス国内でデジタルサービスを提供している企業は、原則として「イギリスのネットワークおよび情報システム規則（UK NIS Regulations 2018）」に基づき、イギリスNIS代表者を任命する義務があります。

ただし、以下の企業はこの義務の対象外です：

• 小規模企業：従業員数が50人未満、かつ年間売上高または年間貸借対照表総額が1,000万ユーロ以下の企業
• マイクロ企業：従業員数が10人未満、かつ年間売上高または年間貸借対照表総額が200万ユーロ以下の企業

UK NIS規則に基づき、イギリス国内でサービスを提供するデジタルサービス提供者（DSP）は、ネットワークおよび情報システムのセキュリティとレジリエンスを確保するため、以下の主要な義務があります。

技術的および組織的対策
DSPは、使用するネットワークおよび情報システムに対するリスクを特定し、適切かつ比例的な技術的・組織的対策を実施する必要があります。これらには次の要件が含まれます：

• リスク管理：データやサービスの可用性、真正性、完全性、機密性を脅かすリスクに対応すること
• 比例性：リスクの潜在的影響と、最新技術および導入コストを考慮した対策を行うこと
• 予防措置：可能な限りサイバーセキュリティインシデントを未然に防ぐこと

インシデント管理および影響の最小化
DSPには次の対応が義務づけられます：

• インシデント予防：ネットワークやシステムへの影響を防ぐ措置
• 影響最小化：発生したインシデントによる影響を縮小し、サービスの継続性を確保
• 復旧計画：迅速なサービス回復を目的とした対応・復旧計画の策定と維持

インシデント報告
重大な影響をもたらすインシデントが発生した場合、DSPは以下の対応が必要です：

• 通知義務：遅滞なくイギリス情報コミッショナー事務局（ICO）に報告
• 報告内容：インシデントの性質、影響範囲、対応策などを含め、ICOが重大性を判断できる情報を提供
• 協力義務：ICOやナショナル・サイバー・セキュリティ・センター（NCSC）と協力し、調査や対処を支援

代理人の任命
本規則において、イギリスで活動していながら英国拠点がない場合、イギリスNIS代理人を任命することを義務付けられています。
代理人の役割は以下の通りです：

• 連絡窓口：ICOやその他関連当局の窓口として機能
• コンプライアンス保証：DSPが規則のすべての義務を遵守するよう支援
• 対応可能性：監督当局からの照会や執行行為に対応できるよう常時アクセス可能であること

If your company is a Digital Service Provider (DSP) and exceeds the relevant thresholds, the applicable law under the UK Network and Information Systems (NIS) Regulations 2018 depends on where your company is established and where you offer your services:

• If your company has its head office in the UK: You are governed by the UK NIS Regulations 2018.
• If your company does not have its head office in the UK but offers services there: You are governed by the UK NIS Regulations 2018 and you must appoint a representative in the UK who will act on your behalf under UK jurisdiction.

In both cases, your company must comply with the UK NIS Regulations, implementing appropriate security measures and fulfilling all reporting obligations.

If your company is a Digital Service Provider (DSP) without its head office in the United Kingdom but offers certain digital services within the UK, you are required to appoint a UK representative under the UK Network and Information Systems (NIS) Regulations 2018.

According to the regulations:

• Designation of a Representative: Companies without a head office in the UK but offering certain digital services in the UK must designate a representative based in the UK. This representative will act on your company’s behalf to ensure compliance with the UK NIS Regulations.
• Impact of Brexit: Since Brexit, the European Union (EU) is now considered a "third country" from a UK perspective. As a result, if you are an EU-based company offering services in the UK but without a head office in the UK, you will need to appoint a UK representative.

Role of the Representative:

• Acts on behalf of your company regarding compliance with the UK NIS Regulations.
• Serves as the point of contact for relevant UK authorities.

By appointing a UK representative, your company ensures compliance with the UK NIS Regulations, contributing to the security and resilience of network and information systems within the United Kingdom.

If your company is a Digital Service Provider (DSP) without its head office in the United Kingdom but offers digital services within the UK, you are required under the UK Network and Information Systems (NIS) Regulations 2018 to appoint a representative in the UK. The requirements for appointing a UK NIS representative include:

• Confirmation in Writing: You must confirm the appointment of your UK representative in writing after completing the registration process with the Information Commissioner's Office (ICO).
• Representative's Compliance: Your representative must comply with UK law and act on your behalf in fulfilling your legal obligations under the UK NIS Regulations, including incident reporting.
• Accessibility: The representative should be readily contactable by the ICO and the National Cyber Security Centre (NCSC).

When nominating your UK representative, you should provide the ICO with information about:

• Your Company's Head Office: Whether you have a head office located outside the UK.
• Other Representatives: Whether you have nominated a representative in another country.
• Compliance with Other Legislation: Whether you are complying with equivalent network and information systems legislation in another country.
• Location of Systems: Whether you are operating network and information systems located outside the UK.

By providing this information, you help the ICO understand your company's structure and ensure effective communication. Appointing a UK representative ensures that your company adheres to the UK NIS Regulations, contributing to the security and resilience of essential digital services within the United Kingdom.

If your company does not have an establishment within either the EU or the UK but is offering their services to individuals in both regions, you will have to appoint both an EU and a UK representative in order to comply with all relevant legislation, which consists of EU law and its implementation in the Member States on one hand, and UK law on the other hand. Please note that your EU representative must be established in one of the Member States your services are being offered to. Your UK representative must be established in the UK.

Under the UK Network and Information Systems (NIS) Regulations 2018, organizations that fail to comply with their obligations can face substantial penalties. Non-compliant companies may be fined up to £17 million. The exact amount depends on factors such as the severity of the breach, the extent of the negligence, and the potential impact on network and information system security. Failure to appoint a UK NIS representative when required is also a serious offense. Organisations that operate in the UK but do not have their head office located within the UK are required to appoint a UK NIS representative to ensure compliance with the regulations.

When appointing a representative under the UK Network and Information Systems (NIS) Regulations 2018, a Digital Service Provider (DSP) must explicitly designate the representative through a written mandate. This representative should be established in the United Kingdom and act as a local contact point, being readily accessible to relevant UK authorities like the Information Commissioner's Office (ICO) and the National Cyber Security Centre (NCSC). The representative acts on behalf of the DSP regarding all legal obligations under the UK NIS Regulations, including incident reporting and liaising with authorities. They must comply with UK law and assist with any investigations or requests related to NIS compliance. By appointing a UK NIS representative, Digital Service Providers (DSPs) that do not have their head office in the UK ensure that they fulfil their legal obligations and contribute to the security and resilience of network and information systems within the United Kingdom.

Prighter ensures compliance by offering an end-to-end digital onboarding process where a Power of Attorney is generated and can be signed either online or on paper. We provide dedicated communication channels with the relevant UK authorities, such as the Information Commissioner's Office (ICO) and the National Cyber Security Centre (NCSC), acting on your behalf to fulfill all legal obligations under the UK Network and Information Systems (NIS) Regulations 2018, including incident reporting and liaising with authorities.