EUに拠点がない企業でも、以下のような事業活動を行っている場合、GDPR第27条によりEU代理人を任命する必要があります：

• EU域内の個人に商品・サービスを提供している（例：EUの言語対応サイト、ユーロでの決済対応など）
• EU域内の個人の行動を追跡している（例：Cookieなどでの行動プロファイリング）

欧州データ保護会議（EDPB）が発行したガイドライン3/2018（GDPRの域外適用に関する指針）によれば、これは管理者および処理者の両方に適用されます。EU域内に拠点を持たない処理者については、GDPRの適用がその「処理活動」の内容に依存します。もし、その処理が管理者による商品・サービス提供や行動の監視に関係している場合、処理者にもGDPRが適用され、代理人の選任が必要になります。

事例①：オンラインゲーム企業：EU域外に拠点があるオンラインゲーム企業が、無料でEU域内のユーザーにゲームを提供し、これらユーザーのジオロケーション、ブラウザ情報、履歴を分析し広告に活用している場合、EU域内の市場をターゲットに行動を監視していると見なされます。これにより、EU代理人をEU加盟国に設置する法的義務が生じます。GDPR違反は高額な罰金やEU市場からの締め出しのリスクがあります。

事例②：B2B向けCRM SaaS：EU域外でCRM SaaSを開発し、EUデータ主体を対象とする企業に提供している場合、提供先企業がEU市場を狙っており、そのソフトがデータを処理・保存しているため、これも「商品・サービス提供＋行動監視」に該当します。この場合、EU代理人の設置義務が発生します。さらに、EUの取引先企業はデータ処理契約の締結とEU代理人設置を要求することも一般的であり、交渉段階でGDPR対応済みであることが信頼獲得につながります。

GDPR第27条によれば、管理者または処理者が以下の3つすべての条件を満たす場合に限り、EU代理人の任命義務が免除されます：

• 個人データの処理が「臨時的」であること（断続的かつ非体系的）
• 特定のセンシティブデータ（人種、健康情報など）や犯罪・有罪情報の大規模処理が含まれないこと
• データ主体の権利や自由にリスクを及ぼす可能性が低いこと

これらすべてを満たすのは非常に難しく、特に「臨時的な処理」に該当するかが多くの企業にとって大きなハードルとなっています。

EU域内の顧客との商取引関係を築く意図が、実際の事業活動として現れている必要があります。単にウェブサイトがEUでアクセス可能であること、EU内の住所や電話番号（国番号なし）を記載しているだけでは、EU市場を対象としている十分な証拠とはなりません。

欧州データ保護会議（EDPB）は、GDPRの適用範囲に関するガイドライン3/2018において、EU域内への提供とみなす際に考慮される要素を示しています。たとえば：

• EU加盟国の言語での表示、またはEU通貨による決済手段の提供
• GoogleやFacebook広告など、EU市場向けのマーケティング活動
• EUに関する言及や推薦文の掲載
• 観光など国際的な性質を持つサービスの提供
• EUからアクセスできる専用の連絡先や電話番号の記載
• EUの国別ドメイン（例：.de、.fr）の使用
• EU域内からの移動方法などの案内
• EU加盟国への商品の配送

要するに、EU向けの働きかけや、EU顧客が製品にアクセスしやすい仕組みがある場合は、GDPRが適用される可能性が高いといえます。

事例①：トルコ拠点の企業が、写真アルバムの作成・編集・配送サービスを英語、フランス語、ドイツ語、オランダ語で提供し、ユーロ・ポンドでの支払いを受け付け、配送先をフランス、ドイツ、ベネルクスに限定している場合、GDPRが適用されます。

事例②：スイスの大学が国際関係のサマーコースをドイツ・オーストリアの大学に向けて積極的に宣伝している場合、EU内の個人に対するサービス提供の意図が明確であり、当該データ処理活動にはGDPRが適用されます。

EU域内の個人データの収集・分析全てが自動的に「監視」に該当するわけではありませんが、監視とは「特定の目的を持ってデータを収集する意図」を意味します。そのため、プロファイリング技術の使用を含む、インターネット上でのあらゆる個人トラッキングは「監視」に該当します。EDPBのGuidelines 03/2018では、ウェアラブルやスマートデバイスを通じた監視も含まれると明確にされています。具体的には次のような監視活動が含まれます：

• ターゲティング広告
• マーケティング目的での位置情報取得
• Cookieや指紋認証を使ったオンライン追跡
• 個別の健康解析サービス
• CCTV（防犯カメラ）
• 個人プロファイルに基づく市場調査や行動調査
• 定期的な健康状態のモニタリングや報告

事例①：米国に本拠を置くマーケティング会社が、フランスのショッピングセンター向けにWi‑Fiトラッキングで顧客の動線を収集・分析し、店舗レイアウトの助言を行う場合、この活動はEUデータ主体の行動監視に該当します。

事例②：カナダのアプリ開発者がEUユーザーの行動を追跡するアプリを提供しており、そのデータ処理を米国の委託業者に任せている場合、GDPR（第3条2項b）が適用されます。

GDPRはその「域外適用」により、EU域外に拠点を置く管理者および処理者に対しても適用されます。これにより、EU域内に代理人を任命しなかった場合、最大で1,000万ユーロ、またはグローバル年間売上高の2％のいずれか高い方の罰金が科される可能性があります。

これらの制裁は、監督当局による行政処分または個人からの訴えを通じて執行されます。さらに、EUに所在する取引先が、あなたの会社への個人データの移転を停止しなければならなくなる可能性もあります。

代理人は、EU域外のコントローラーや処理者に代わり、当局や個人（データ主体）とのやり取り（連絡窓口）を円滑に進める役割を担います。代理人の任命は、書面による正式な委任契約が必要です。また、処理記録（第30条に基づく）を保管し、監督当局からの要請があれば提示できる体制が求められます。

• 当局およびデータ主体との円滑なコミュニケーションを実現するため、欧州各地にオフィスを展開し、高度な技術ソリューションを開発。
• 書面での正式な委任契約はオンボーディングの一環として行われ、クライアントはオンラインでエンドツーエンドのプロセスを通じて委任状に署名できます。
• 処理記録（GDPR第30条）作成のサポートとして、あらかじめ入力されたテンプレートを提供し、丁寧な支援とガイダンスを行います。

まず、EDPB（欧州データ保護会議）は、ガイドライン03/2018における「域外適用」の解釈で、EU加盟国のいずれか1箇所に代理人を選任すれば、他のすべての加盟国でもその代理人が対応できると明示しています。ただし、顧客の多くが特定の加盟国に集中している場合は、その国に代理人を置くことが理想的とされています。いずれにせよ、代理人はどの加盟国のデータ主体にとっても容易にアクセス可能である必要があります。

Prighterの対応方針

• Prighterは、主要なEU加盟国すべてに自社またはパートナーオフィスを有しており、その地域のデータ主体にとって利便性の高いローカル代理人を提供します。
• さらに、単なる郵便箱ではなく、現地にて実務に精通したプライバシー専門家が常駐しており、信頼性の高い対応が可能です。

Prighter の目指すところは、法務の専門知識と技術ソリューションの融合によって、非EU企業がGDPRを確実に順守できるよう支援することです。当社は法律事務所として、主要銀行や金融機関、テック企業のデータ保護責任者を務めた経験から得た実務的な洞察を、DSRやデータ侵害対応、処理記録管理などのツール開発に反映させています。プライバシー関連のすべてを支援するだけでなく、効率的かつ専門的な対応によって、顧客からの信頼向上を通じてビジネスの成長につながるようサポートします。

PrighterはGDPR第27条に定められたEU代理人業務を中心に、コンプライアンスの取り組みを「成果」として活かすためのツールやサービスを用意しています。詳細は「GDPR代理人サービス」ページをご覧ください。

• GDPR代理人：

PrighterのEU GDPR代理人プログラムに加入いただくと、貴社の正式な代理人として、EU内のデータ主体や監督当局からの要求に対して、当社の法務・プライバシー専門チームが最前線で対応します。

• 信頼の獲得：

ブランドに合わせてカスタマイズ可能な「コンプライアンスページ」をご提供。プライバシーポリシーやCookieポリシー、認証情報を掲載でき、外部への透明性と信頼性を高める場として機能します。このページからデータ主体からの要求も受け付け、弊社の専用ツールでスムーズに対応可能です。

• GDPRプライバシーツール：

データ主体からの要求（DSR）を効率的に処理するための専門ツールを提供。リスクを最小限に抑え、時間・コスト・社内リソースの削減につながります。また、監督当局からの標準的な要求（例：処理記録の提出）にも対応。データ侵害時には、迅速な対応を可能にするツールとサポートも完備しています。

ここが当社の強みです。独自開発したDSR（データ主体要求）管理ツールにより、クライアントや当局から届くすべてのプライバシー関連の要求を集約、構造化、フィルタリングします。
AI技術を活用し、数百万人規模の要求でも一つのツールで対応可能です。データ主体とのコミュニケーションなど、DSR対応のすべての正式プロセスをサポートします。実際にデータベース上で「データ主体の削除」などの処理を行うかどうかは、最終的には貴社のご判断となります。DSRツールは、要求のライフサイクル全体において形式的対応を正しく行うための支援として、アドバイスのフレームワークを提供します。詳しくはこちらをご覧ください。

データ保護責任者（DPO）の任命が義務付けられるのは、以下のいずれかに該当する場合です：

• 公的機関または公的組織によって個人データの処理が行われる場合（ただし、裁判所が司法権を行使する場合は除く）
• 企業の主要な業務が、本質・範囲・目的のいずれかにおいて、大規模かつ定期的・体系的にデータ主体を監視する処理で構成されている場合
• 企業の主要な業務が、GDPR第9条に基づく特別カテゴリの個人データや、第10条に基づく犯罪歴などに関するデータを大規模に処理することに関係している場合

これらの基準の解釈については、「Art. 29 Working Party on Data Protection Officers」によるDPOに関するガイドラインに詳述されています。

DPOの任命要件と比較すると、GDPR代理人（Art. 27）の任命は、EU内の個人に対して商品やサービスを提供する場合や、その行動を監視する場合に必要とされます。

つまり、DPOの要件は「高リスクな処理」に関するものであり、GDPR代理人の要件は「EU域内に対して可視的なデータ処理活動」がある場合に発生します。

DPO（データ保護責任者）：企業内の個人データ保護に関するすべての問題に関与し、GDPR遵守状況の監視、データ保護影響評価（DPIA）への支援、管理層へのプライバシーバイデザイン・バイデフォルトに関する助言などを行います。そのために、日常的な業務に近く、本社もしくは主要拠点の近くに配置されるのが望ましいです。

EU GDPR代理人：EU内に設立拠点がない企業に代わって、EU拠点に準じた役割を担いますが、実際には距離を置いて活動します。支店や子会社の代替として、EU当局やデータ主体からの連絡窓口となります。

いいえ、DPOと代理人の役割には利害の衝突が生じるため、兼任はできません。EDPB（欧州データ保護会議）は、ガイドライン03/2018（GDPRの域外適用に関する指針）において、法執行手続に関する義務や利害の対立が発生し得るとして、DPOと代理人の兼務を認めていません。特に、両者の責任範囲や義務における整合性の確保という点で、役割の両立は困難とされています。

The onboarding process is simple and can be completed in a couple of minutes.

1. We grant your company a free 14-day trial to keep the appointment completely risk-free.
2. Choose a plan. The available plans depend on your company's size. The size of the company is defined according to the Eurostat categories which measure it by the number of people employed. 'Employees' in this definition includes part-time workers and freelancers.
3. Enter your company's details.
4. After registering, download the Power of Attorney (PoA). A signed PoA is required as evidence of the appointment of Prighter as your representative in case of requests from supervisory authorities. We kindly ask you to sign and upload your PoA.
5. Our team will check and verify the provided information about your company and the PoA. This is usually done within a couple of hours.
6. After the PoA has been approved, your company has successfully appointed Prighter as your Art. 27 GDPR representative for the whole EU. You can log in to your client area where you can find templates and information on what can be included in your homepage and privacy policy.
7. Your risk-free 14-day trial period starts now.

Contrary to the appointment of a DPO, you don't need to notify a data protection authority of the representation. If a data protection authority has an inquiry about a company, they take the necessary information from the company's privacy policy. However, please note that you will need to notify the relevant authority that you have appointed Prighter as your NIS representative.

Every separate entity requires representation according to Art. 27 GDPR. Nevertheless, Prighter offers your group the option to sign up for a group package to manage the representation of your affiliates through one main account, with sub-accounts for every affiliate. You will be required to internally select a centralised point of data protection management for the group to handle both the main account and the sub-accounts with one centralised login. The number of affiliates covered depends on the package you sign up for. The "small enterprise" package includes two affiliates, the "medium enterprise" package includes up to five affiliates, and the "large enterprise' package includes an unlimited number of affiliates. All included group entities must operate in the same industry, offer the same range of products, and have the same or a linked brand.

Subscription pricing is based on your company size according to official Eurostat categories and the number of entities to be covered, starting from €39 per month. We offer a 14-day trial period on all subscriptions so that you can get to know our service before subscribing. Our pricing is transparent and there are no hidden costs as we do not charge per request from data subjects. You can choose between monthly, quarterly, or yearly payments. Your company gets a discount for quarterly payments and an even higher discount for the yearly payments option. Furthermore, you can choose between paying with credit card or via bank transfer. We accept almost all credit cards. Bank transfers are accepted in EUR, USD and GBP for annual payments. Please contact our support team should you have any further questions.