代理人制度

EU GDPR EU DSA AI規則 EU NIS 2 スイスFADP トルコKVKK

「代理人」（legal representative / authorised representative）とは、事業者がその法域に拠点を持っていないにもかかわらず、その法域の規制対象となる場合に、当局や、場合によっては利用者との連絡窓口となる現地設置の受け皿を指します。
基本的な考え方はシンプルで、越境して事業を行っているからといって、「現地で連絡できる相手がいない」「現地で執行できる相手がいない」という状態にしてはならない、ということです。
実務上、代理人は、当局からの照会、必要に応じた利用者からの連絡、コンプライアンス証拠の受渡しなどに対応する運用上の接点となります。ただし、データ管理者や提供者自身の本来の責任が代理人に移るわけではありません

概要

基本的な考え方
現地に拠点がなくても規制の適用対象になる場合には、当局や、場合によっては利用者のために、現地に設置された連絡先が必要になります。

EU GDPR：EU域外のデータ管理者／処理者であって、EU域内の個人に商品・サービスを提供する場合や、その行動をモニタリングする場合には、通常、EU代理人の選任が必要です。
UK GDPR：基本的な考え方はEUと同じで、英国の個人を対象にするEU域外・英国域外の組織は、通常、英国代理人の選任が必要です。
DSA：EU域外の intermediary services の提供者で、EU域内でサービスを提供する場合には、当局対応のための EU法的代理人 を置かなければなりません。受領者との連絡を支援する役割も担い得ます。
AI法：EU域外の provider のうち、適用対象となるもの、特に高リスクAIシステムや一定のGPAIの文脈では、EU認定代理人 の選任が必要です。
データ法：EU域外の事業者が、EU市場でコネクテッド製品やサービスを提供する場合には、EU法的代理人 の選任が必要です。代理人なしで事業を行うと、執行対象が広がります。
NIS2 / UK NIS：一定のEU域外デジタル事業者には、代理人 の選任義務があります。多くの場合、この役割はセキュリティガバナンスやインシデント連絡・報告と密接に結びつきます。
その他の法域：スイス、トルコ、韓国、タイなどでも、同様の「現地代理人」的な制度があり、多くは法域ごとのコンプライアンス要件の一部になっています。

EU GDPR

EU域外に設立された企業が、EU域内の個人に商品またはサービスを提供したり、EU域内にいる個人の行動をモニタリングしたりする場合、GDPR第27条に基づきEU代理人を選任しなければなりません。たとえば、EUの言語でウェブサイトを提供する、ユーロ建て決済を受け付ける、クッキーによるプロファイリングを行うといった場合が典型です。この義務はデータ管理者だけでなく処理者にも及びます。処理者については、その処理活動が、データ管理者のために行われるものであっても、商品・サービス提供や行動モニタリングに関連していれば、データ管理者に加えてGDPRの適用を受けます。

この義務は、通常の商業活動によって生じます。EU向けの言語や通貨の使用、EU顧客向けのマーケティング、EUの利用者の声の掲載、EU向けトップレベルドメイン、EU専用の連絡先、EU域内への配送などが、その典型です。単にEUからウェブサイトにアクセスできるだけでは足りませんが、実際にEU市場を狙っていることを示す事情が積み重なれば、十分です。行動モニタリングについては、特定目的のためのデータ収集が含意されており、その後のプロファイリングも含めたインターネット上の追跡に加え、ウェアラブル端末やその他のスマートデバイスを通じたモニタリングも該当し得ます。例としては、行動広告、特にマーケティング目的の位置情報取得、クッキー等による追跡、プロフィールに基づく市場調査や行動分析、コネクテッドデバイスを通じた継続的な監視などが挙げられます。

第27条には例外がありますが、適用されるのは、処理が本当に例外的・非定型的であり、特別カテゴリーデータや犯罪関連データの大規模処理を含まず、かつ、データ主体の権利自由に対するリスクが低い場合に限られます。実務上は、これらの条件をすべて満たすのは簡単ではなく、特に「たまにしか処理しない」という要件が大きなハードルになります。

代理人の役割自体は分かりやすいものの、実務上は非常に重要です。代理人は、EU域外のデータ管理者または処理者について、当局やデータ主体の宛先として機能しなければなりません。選任は書面による委任で明確にしておく必要があり、さらに代理人は第30条の処理記録を保持し、監督当局の求めに応じて提示できなければなりません。法的要件だけを見ると短く見えますが、実際には、ワークフロー、受信箱、SLA、エスカレーション経路、素早く一貫して出せる証拠パックの整備が必要になります。

また、代理人をどこに置くかも重要です。代理人はEU加盟国のいずれか一国に置けば足りますが、その一国が他の加盟国に対する窓口にもなり得ます。もっとも、顧客の多くが特定の加盟国に集中している場合には、その国に代理人を置くのが実務上望ましいといえます。どこに置くにせよ、EU全域のデータ主体からアクセスしやすいことが必要であり、実務的な基準は「どこにでも存在していること」ではなく、「連絡が取れ、信頼でき、対応能力があること」です。

代理人を置くべき場合に置かなかったことは、単なる形式不備では済みません。GDPR違反として相当額の制裁金につながり得ますし、EU域内での取引から排除されるおそれもあります。取引先が、非適合な事業者へのデータ移転を拒むこともあり得ます。GDPRの下では、この種の義務違反に対して最大1,000万ユーロまたは全世界年間売上高の2％のいずれか高い額の行政制裁金が科される可能性があります。

UK GDPR

UK GDPRも、基本的な考え方はEU GDPRと同じですが、英国独自の執行が伴います。GDPRはEU規則であるため、Brexit後は原則として英国にそのまま適用されません。その代わり、英国政府はGDPRを自国のデータ保護法制に組み込んでおり、2021年1月1日以降は「UK GDPR」が適用されています。そのため、すでにEU GDPRに対応している企業であれば、多くの要件は共通していますが、越境ビジネスでは、英国代理人の選任や、英国との間の国際データ移転への対応など、追加対応が必要になることがあります。

2021年1月1日以降、英国に拠点・支店・その他の設立がない企業であって、EU域内または第三国に所在するものは、英国にいる個人の個人データを処理し、その処理が英国への商品・サービス提供または英国内での個人の行動モニタリングに関連する場合、英国代理人を選任しなければなりません。「提供」や「モニタリング」の判断では、言語や通貨、英国向け広告、英国ドメイン、英国向け配送、英国の連絡先など、EU GDPRと同様の事情が重要になります。必要なのに代理人がいない場合には、最大870万ポンドまたは全世界年間売上高の2％のいずれか高い額の制裁金があり得ます。実務上、代理人は単なる郵便受けでは足りず、連絡を受け、対応できる実体的な存在であるべきです。DPOの場合と違い、通常はICOへの届出は不要ですが、プライバシーポリシーには必要な情報を記載しておくべきです。

DSA（デジタルサービス法）

デジタルサービス法（DSA）も、同じく「現地で執行可能であること」という考え方を採用していますが、対象はより限定された分野です。DSAは仲介サービス（intermediary services）を提供する事業者に適用されます。GDPRと同様、EU域外事業者にも域外適用がありますが、その対象は「EU域内でサービスを提供している」場合に限られます。あるサービスがEU域内で提供されているというには、EUの受領者が実際にアクセスでき、かつEUとの実質的な結びつきがあることが必要です。設立拠点の有無に加えて、EU域内の受領者数、EU向け活動のターゲティング、言語・通貨、EU向け注文機能、EU向けトップレベルドメイン、アプリストアでの可用性、現地広告、EU言語によるサポートなどが考慮されます。単に技術的にEUからアクセスできるだけでは足りません。

DSA第13条に基づく法的代理人の主な役割は、加盟国当局、欧州委員会、欧州デジタルサービス委員会に対する窓口となることです。国内当局には司法機関や行政機関、法執行機関も含まれ得るため、代理人は、法的手続の受領、当局との協力、決定の執行対応などに関与することになります。また、受領者や「trusted flagger（SNSやビデオプラットフォーム上で、「ヘイト（誹謗）」、「フェイク（嘘）」など違法な発信を探し出す機関のことを指す）」に対する連絡窓口となることもあり、特に言語要件が重要な場合には、さまざまな利害関係者との運用上のやり取りを円滑にする役割も担います。DSAは、仲介サービス提供者（intermediary service provider）自身に対して取り得る責任追及を妨げないまま、代理人にも一定の責任を負わせ得ることを明示しています。

そのため、DSA上の法的代理人には、十分な権限、必要なリソース、関係当局と協力する能力、当局手続に対応する経験、そしてDSAの文脈では一定の財務的基盤が求められます。もっとも、EU全域をカバーするために、一加盟国に一名の代理人を置けば足ります。実務上は、その加盟国に「ホーム」当局との接点を持てることにも意味があります。

EU AI法

EU AI法は、EU域外のAI providerに対して「認定代理人（Authorised Representative）」の制度を導入しています。AI法は、AIシステムをリスクに応じて分類し、その開発、市場投入、利用に関する法的要件を定める包括的な規則です。そして、そのAIシステムがEU域内の人々に影響を及ぼす場合には、EU域外の組織にも適用されます。授権代理人は、EU域内に所在する法人であり、EU域外のAIプロバイダーのために行動します。書面による委任を受け、当局との窓口対応や、市販後のコンプライアンスを支える文書の保持など、一定の法的役割を担います。

EU域内に設立されていないAIシステム提供企業は、原則として認定代理人を選任しなければなりません。これには、高リスクAIシステムのプロバイダーに加え、導入状況によっては汎用目的AIモデルのプロバイダー、さらにEU市場にAIシステムを売り出す第三国の供給者も含まれます。実務上重要なのは、文書をきちんと整え、当局対応ができる体制を持つことです。授権代理人は、当局が関与した際に、必要な文書を適切に提示し、市販後コンプライアンスの手続を支えられなければなりません。

データ法

データ法も、一定のEU域外事業者に対して法的代理人の選任義務を課しています。第37条第11項に基づき、EU域外に設立された企業であって、EU域内でコネクテッド製品を提供したり、関連・非関連を問わずサービスを提供したりする場合には、EU法的代理人を指定しなければなりません。代理人が指定されるまでの間は、複数の加盟国当局が権限を行使し、比例的かつ抑止的な制裁を科すことがあり得ます。そのため、コネクテッド製品やサービスをEU市場で提供し始める時点で、すでに代理人を整えておく必要があります。代理人なしで事業を行えば、加盟国横断で執行リスクが広がります。なお、個人データが関係する場合には、GDPR上の義務やデータ保護当局の執行権限は引き続き並行して適用されます。

NIS 2/UK NIS

サイバーセキュリティ法制では、インシデント対応の緊急性と結びついた別種の「代理人」制度が見られます。EU NIS2指令は、元のNIS指令を改め、対象分野を拡大し、より厳格な要件を導入しています。EU域内に拠点を持つ企業だけでなく、一定のデジタルサービスをEU域内で提供するEU域外企業にも適用され得ます。該当するEU域外企業は、通常、NIS代理人を選任しなければなりません。もっとも、従業員規模に応じて、零細企業や小規模企業には一定の除外があります。適用対象になると、サイバーセキュリティのリスク管理措置に加え、重大インシデント時の段階的報告、すなわち早期警告、事故通知、必要に応じた中間報告、最終報告といった義務が課されます。EU域外の対象事業者にとって、代理人の設置は、当局やCSIRTが連絡できる現地窓口を確保し、インシデント報告や当局との調整を代わって進められるようにする役割を持ちます。重大事業者・重要事業者については、分類や事情によっては高額の制裁金があり得ます。

英国では、NIS Regulations 2018 が引き続き全面適用されています。英国は元のNIS要件を国内法化しており、ブレグジット後も運用されています。対象には、Essential Services の運営者や、online search engines、online marketplaces、cloud computingなどの一定の Digital Service Providers（DSP）が含まれます。適用範囲や中小企業除外は、脅威や事業内容に応じて変わります。英国域外に本社やオフィスを持つDSPが英国でサービスを提供する場合には、英国ベースの代理人を置くことが求められます。違反した場合には、重大事案では最大1,700万ポンドとされる制裁金を含む執行措置があり得ます。実務上、この代理人は、関係する英国当局の連絡先兼、事故報告や連絡調整に対応できる現地窓口として位置づけられます。

他法域における代理人要件

このような代理人型の義務は、EUや英国の枠組みの外にも見られます。狙いは共通しており、規制当局や個人にとって、現地で連絡可能な窓口を確保することです。

スイスでは、改正FADPにより、一定の外国民間データ管理者は、スイスにいる個人の個人データを処理し、その処理が商品・サービス提供または行動モニタリングに関連し、かつ大規模・継続的で、データ主体の人格に高いリスクを及ぼす場合、スイス代理人を置かなければなりません。代理人は、データ主体およびFDPICの連絡窓口となり、記録保持や協力義務を負います。（第14条）

トルコでは、KVKKにおいて、トルコ国内の個人データを処理する外国データ管理者向けに「Data Controller Representative（データ管理者代理人）」の制度があり、VERBISへの登録義務と結びついています。非トルコのデータ管理者企業は通常、この登録を代理人を通じて行います。（第16条）

韓国では、韓国内に住所や営業所を持たない一定の海外情報通信サービス提供者が、特定のコンプライアンス業務を担う「国内代理人（domestic agent）」を指定しなければなりません。対象業務には、プライバシー担当者としての役割や、侵害通知・報告などが含まれ、当該代理人はプライバシーポリシーでも開示する必要があります。（第31-2条）

タイでは、PDPAが域外適用を持ち、タイの個人に商品・サービスを提供したり、その行動をモニタリングしたりする外国データ管理者／処理者に適用されます。そして、一定の外国データ管理者には、タイ国内の代理人の選任義務があります。（第5条、37条5項）

代理人義務を満たすためには

実装の観点から見ると、強固な代理人体制を作る最短ルートは、単に名前を一つ置くことではなく、ワークフローとして設計することです。まず、どの法令が適用されるのか、つまりEU GDPR、UK GDPR、DSA、AI法、データ法、NIS2 / UK NISのどれが関係するのかを確認し、現実的に使える例外があるかを見極めるべきです。そのうえで、顧客や受領者が集中している場所、監督対応の実務上の拠点、言語や運用面で最も対応しやすい場所を踏まえて、代理人の所在地を決めます。

次に、委任内容を書面化し、範囲を明確に定めることが重要です。たとえば、代理人がどのような連絡を受け取れるのか、誰が何に署名できるのか、エスカレーション先は誰か、どのSLAで対応するのか、証拠をどう作成し保管するのか、といった点を明らかにしておくべきです。また、必要な場面では代理人情報を公表し、プライバシーノーティスやDSA上の連絡先などにも適切に反映させる必要があります。さらに、処理記録、社内ポリシー、AI法上必要となる技術文書、NIS関連で必要となるインシデント対応文書などを、あらかじめ証拠パックとして整えておくことが望まれます。最後に、当局からの照会、利用者からの請求、必要に応じてインシデント通知まで含めた一連の流れを、模擬対応でテストしておくべきです。代理人の役割は、単に「連絡が取れる」だけでは不十分で、「確実に機能する」ものでなければなりません。