GDPRは米国企業にも適用されるか:第3条の解説(2026年版)

GDPR(EU規則2016/679)は、第3条(2)項に基づき、EU域内の人々に商品またはサービスを提供する、あるいはEU域内におけるその行動を監視する米国企業に適用される。EU域内に事務所、従業員、拠点を有している必要はない。本稿では、米国企業が理解しておくべきすべての適用トリガー、義務、そして制裁金のリスクを解説する。
GDPRが求める内容の全体像(7つのデータ処理原則と6つの適法根拠を含む)については、姉妹解説記事であるGDPRとは何かを参照されたい。
EU域内に拠点のない米国企業にも、GDPRの域外適用は本当に及ぶのか
適用される。EU規則2016/679の第3条(2)項は、GDPRの適用範囲をEUの国境の外にまで拡張している。この規定は、EU域内に拠点を有しない管理者または処理者であっても、その個人データの処理が次のいずれかに関連する場合に適用される。(a)対価の有無を問わず、EU域内にいるデータ主体に対して商品またはサービスを提供すること。(b)EU域内で行われる限りにおいて、データ主体の行動を監視すること。
ここで鍵となるのは「EU域内に拠点を有しない」という文言である。第3条(2)項は、まさにEU域外の事業体を対象とするために書かれた規定である。オースティンのソフトウェア企業、シカゴのメディア出版社、フェニックスのEコマース小売業者は、いずれも、処理の時点で物理的にEU域内にいる人々に関する情報をどのように処理しているかによって、GDPRの適用範囲に含まれうる。これは米国企業がしばしば見落とす核心的な点である。GDPRの管轄権の根拠は、処理の時点におけるデータ主体の所在地に基づくものであり、企業やそのサーバーの所在地に基づくものではない。
第3条(2)項とは別に、GDPRの適用を受けるもう一つの経路が存在する。第3条(1)項は、EU域内に拠点を有する管理者および処理者を対象とする。これは、EU加盟国に支店、子会社、あるいは安定的な販売体制を有する米国企業にとって重要な意味を持つ。そのEU拠点が個人データの処理に関与している場合、実際のデータ処理が米国のサーバー上で行われていたとしても、そのEU拠点の活動という文脈における処理には第3条(1)項が適用される。ドイツに営業所を、フランスに販売子会社を、あるいはオランダにカスタマーサービスのチームを有する米国企業は、第3条(2)項の分析とは別に、そのEUでの事業活動について第3条(1)項の適用を受ける可能性が高い。
第3条(1)項の「拠点」の判断基準は、EU司法裁判所(CJEU)のGDPR以前の判例であるGoogle Spain v AEPD事件(事件番号C-131/12、2014年)に由来する。同判決は、米国の親会社のスペイン子会社がEU拠点に当たると判断し、親会社のデータ処理活動をEUデータ保護法の適用対象とした。同様の論理が、GDPR第3条(1)項のもとでも適用される。
第3条(2)項による二つの適用トリガー:ターゲティングとモニタリング
トリガー1:第3条(2)(a)項のターゲティング基準
最初のトリガーは、米国企業がEU域内にいるデータ主体に対して商品またはサービスを提供している場合に適用される。「提供」には、意図的なターゲティングの要素が必要である。GDPR前文23項は、この線引きを明確に示している。「管理者、処理者、または仲介者のウェブサイト、メールアドレス、その他の連絡先が単にEU域内でアクセス可能であるということ、あるいは管理者が拠点を置く第三国で一般的に使用されている言語を用いているということだけでは、そのような意図を確認するには不十分である。」
平易に言えば、英語はヨーロッパで広く話されているため、ウェブサイトが英語であるというだけで米国企業が自動的にEU居住者をターゲットにしているとはみなされない。EDPB(欧州データ保護会議)の「域外適用に関するガイドライン3/2018」(バージョン2.0、2019年11月12日採択)は、この境界線について詳しく説明している。EDPBは、まとめてまたは個別に考慮した場合にEUのデータ主体への商品・サービス提供の意図を示す、非網羅的な要素の一覧を示している。
前文23項およびEDPBガイドライン3/2018のもとでターゲティングを示す要素:
- 1つ以上のEU加盟国で一般的に使用されている言語または通貨を用い、かつその言語で商品・サービスを注文できること(たとえば、ドイツ語の商品ページでユーロ建ての決済ができるショッピングカートなど)。
- EUまたは特定の加盟国の顧客・ユーザーに直接言及していること。
- EU加盟国の住所への配送オプションを提供していること。
- EU加盟国の国別コードトップレベルドメイン(たとえば.de、.fr、.nlなど)を使用していること。
- EU加盟国に地域を限定した有料広告キャンペーンを実施していること。
- EU固有のVAT(付加価値税)情報を含めている、またはEU法域向けに税込み価格を表示していること。
- EUの言語またはタイムゾーンに対応したカスタマーサポートの窓口を提供していること。
これらの要素はいずれも意図を示す証拠であり、単独で自動的に決定的となるものはない。EDPBガイドラインは、複数の要素の組み合わせが分析上の重みを増すことを認めている。EUの住所への配送を行い、ユーロ建ての決済を受け付け、フランス語のGoogle広告を運用している米国企業は、ターゲティングを示す強い兆候を三つ積み重ねていることになる。
ターゲティングがほぼ確実に該当する具体例:
| シナリオ | 第3条(2)(a)項のもとでGDPRは適用されるか |
|---|---|
| 米国のEコマース小売業者がドイツとフランスに配送しており、決済がユーロ建てである | ほぼ確実に適用される |
| 米国のSaaS企業の料金ページに「EUの顧客の場合、決済時にVATが加算されます」と記載されている | ほぼ確実に適用される |
| 米国のサブスクリプションサービスが、EU加盟国に地域を限定したFacebookまたはGoogleの広告キャンペーンを実施している | ほぼ確実に適用される |
| 米国のアプリが自社製品のドイツ語版を追加している | ほぼ確実に適用される |
| 米国のニュースサイトが英語のみを使用し、EU向けの価格設定、配送、広告を行っていない | それだけでは適用されにくい |
| 米国の法律事務所のウェブサイトが英語のみの問い合わせフォームを備え、EU向けサービスを提供していない | それだけでは適用されにくい |
| 米国のブロガーの投稿が世界中からアクセス可能であるが、EU向けの機能を持たない | それだけでは適用されにくい |
重要な区別は、意図と実行可能性の組み合わせである。ターゲティングの意図を伴わない単なるアクセス可能性は、第3条(2)(a)項の対象外である。EUのユーザーに対応するために構築された、意図的な働きかけやインフラは、その一線を越える。
トリガー2:第3条(2)(b)項のモニタリング基準
第二のトリガーは、行動のモニタリングである。GDPR前文24項は、これがEU居住者をオンライン上で追跡すること、とりわけ個人の嗜好、行動、態度を分析または予測するためのプロファイリング技術の利用を対象とすると説明している。モニタリングのトリガーは、見かけ以上に広範である。EUのユーザーを意図的にターゲットにすることは要件ではない。自社の技術インフラが、たまたまEU域内にいる人々から個人レベルのデータを収集し、そのデータを用いてその人々に関する意思決定を行っている場合、ターゲティングの分析とは独立して、モニタリングのトリガーが適用されうる。
EDPBガイドライン3/2018は、「モニタリング」には、個人の行動を時間の経過とともに追跡または継続的に把握する要素が必要であることを強調している。プロファイリングやその後の利用を伴わない、アクセスログにおけるIPアドレスの一回限りの収集は、モニタリングに該当する可能性は低い。クッキー、ピクセル、デバイスフィンガープリンティング、クロスサイトトラッキング技術による継続的な追跡は、通常これに該当する。
米国企業にとって一般的にモニタリング基準のトリガーとなる活動:
- EUのユーザーが訪問するウェブサイトに、第三者の広告用またはリターゲティング用ピクセル(Google広告のコンバージョンタグ、Meta Pixel、LinkedIn Insight Tagなど)を設置し、それらのピクセルがオーディエンスセグメントを構築するためにIPアドレスや閲覧行動を収集していること。
- EUからの訪問者について、個人レベルのIPアドレスやデバイス識別子を長期間にわたって取得・保持するよう設定された、ウェブ解析ツール(自社ホスト型の解析ツールを含む)を運用していること。
- EUのユーザーの閲覧履歴、購買パターン、メール開封データを組み合わせて行動プロファイルを構築し、その後のターゲティングやパーソナライズに用いる顧客データプラットフォーム(CDP)を利用していること。
- EUのユーザーの位置情報やアプリ内行動を長期間にわたって記録するモバイルアプリを運営していること。
- EU会員の購買履歴を追跡し、その履歴に基づいてターゲットを絞ったオファーを送るリワード・ロイヤルティプログラムを運用していること。
- EU域内の個人の連絡先データと第三者の行動データを組み合わせるCRMエンリッチメントツールを利用していること。
モニタリングのトリガーが適用されるために、米国企業が特定のユーザーがEU域内にいることを認識している必要はない。使用している技術がEU居住者から個人レベルのデータを収集し、そのデータがその人々に関する意思決定のために処理されている場合、このトリガーの要件は満たされる。EDPBは、「EU域内で行われる限りにおいて」データ主体の行動を追跡するという要件は、処理が行われる場所ではなく、追跡対象の行動が行われる場所に着目するものであると明確に述べている。
シナリオ別の適用判断表
| シナリオ | 第3条(2)(a)項ターゲティング | 第3条(2)(b)項モニタリング | GDPRは適用されるか |
|---|---|---|---|
| 米国の小売業者がEUに配送し、ユーロ建てで決済する | 該当する | 解析ツールの内容による | 適用される |
| EUの購読者基盤とEU向けの料金ページを持つ米国のSaaS企業 | 該当する | 該当する可能性が高い(利用状況の解析) | 適用される |
| EUのユーザーに対してリターゲティングピクセルを運用する米国の広告技術企業 | それだけでは該当しにくい | 該当する(プロファイリング) | 適用される |
| EUの顧客はいないが、GA4がプロファイリングのためにEUのIPアドレスを収集している米国企業 | 該当しない | 該当する可能性がある | 該当する可能性あり(解析設定を確認すべき) |
| 英語のみで、EUへの配送、EU向け広告、EU向け解析プロファイリングのいずれも行わない米国のブロガー | 該当しない | 該当しない | 適用されない |
| ドイツに販売子会社を有する米国企業 | 第3条(1)項の拠点に該当 | 第3条(1)項の拠点に該当 | 適用される(第3条(1)項) |
第27条:EU代理人の選任義務
第3条(2)項によって米国企業がGDPRの適用範囲に含まれると、第27条(1)項は構造的な義務を課す。すなわち、その企業は、自社のデータ主体が所在するEU加盟国のいずれかに拠点を置く代理人を、書面により選任しなければならない。
EU代理人の役割は形式的なものではなく、実質的なものである。代理人は、データ主体と監督機関の双方にとって、その企業の現地窓口として機能する。EU居住者は、代理人を通じて直接、GDPR上の権利(開示、訂正、削除、データポータビリティ、異議申立て)を行使できる。EUのいずれのデータ保護当局(DPA)も、執行に関する連絡、行政命令、手続きを代理人宛てに送付することができる。第27条(4)項のもとでは、代理人の選任によって管理者または処理者がGDPR上の責任を免れることはない。代理人は、米国企業に代わるものではなく、それに加えて機能するものである。
代理人は、単なるEEA(欧州経済領域)ではなく、EU加盟国に(登録住所だけでなく実際の拠点として)設立されていなければならない。この区別は重要である。ノルウェー、アイスランド、リヒテンシュタインはEEA加盟国としてGDPRを採用しているが、EEAのみの拠点(たとえばノルウェーの代理人)は、EUの監督機関との関係では第27条の要件を厳密には満たさない。ただし、EDPBは実務上、EEA各国がGDPRを実施していることを踏まえ、EEA拠点の代理人も一般に容認されうると指摘している。米国企業は、自社の具体的な状況においてEEA加盟国が要件を満たすかどうかを、法律顧問に確認すべきである。
第27条代理人の氏名(または名称)と連絡先は、企業のプライバシー通知の中で開示しなければならない。データ主体は代理人に連絡できなければならない。この目的のために、主要なEU加盟国のすべてで商業的な代理人サービスが提供されており、その費用は通常、年間数百ユーロから数千ユーロ程度であり、この義務を怠った場合に科されうる制裁金のリスクをはるかに下回る。
第27条(2)項の限定的な例外
第3条(2)項の要件を満たす米国企業のすべてが代理人を選任しなければならないわけではない。第27条(2)(a)項は、次の条件を同時に満たす処理を適用除外としている。(a)臨時的であること(日常的または継続的でないこと)。(b)第9条(1)項に基づく特別カテゴリーのデータ(健康データ、生体データ、遺伝データ、人種的・民族的出自、宗教的・思想的信条、政治的見解、労働組合への加入、性的指向、または有罪判決)の大規模な処理を含まないこと。(c)処理の性質、状況、範囲、目的を考慮したうえで、自然人の権利および自由にリスクを生じさせるおそれが低いこと。また、公的機関は第27条(2)(b)項により適用除外となる。
この例外は、実務上は限定的なものである。広告用クッキーを備えたウェブサイト、マーケティング用のメールリスト、モバイルアプリ、行動解析を運用するほとんどの米国企業は、この例外に該当しない。それらの処理は継続的であり(臨時的ではなく)、個人レベルの継続的な追跡を伴うためである。EUの参加者を対象に一回限りの匿名調査を実施した米国の学術研究者は該当しうるが、継続的なEU顧客基盤を持つ米国のSaaS企業は該当しない。
必要とされる第27条代理人を選任しなかった場合、それは第一階層(第83条(4)項)の制裁金の対象となる違反であり、企業は最大1,000万ユーロまたは全世界年間売上高の2%のいずれか高い方の制裁金のリスクにさらされる。
GDPRと米国州法のプライバシー規制との関係
GDPRの適用を受ける米国企業の多くは、米国の州法によるプライバシー規制、とりわけカリフォルニア州消費者プライバシー法(CCPA、カリフォルニア州プライバシー権法(CPRA、2023年1月1日施行)により改正・強化)の適用も受ける。CCPA/CPRAの制度とGDPRは、概念的な共通性(いずれもプライバシー通知、データ主体の権利、データフローのガバナンスを要求する)を有しているが、いくつかの重要な点で異なっており、単一の統合プログラムではなく、それぞれ別個のコンプライアンス対応が必要となる。
適法根拠モデルとオプトアウトモデル。 GDPRは、処理を開始する前に、すべての処理活動について適法根拠を要求する(オプトインを原則とする)。CCPA/CPRAは異なるモデルを採用しており、処理は原則として許容されるが、消費者には自己の個人情報の販売・共有をオプトアウトする権利が認められる。GDPR第7条の同意の基準は、自由な意思に基づき、特定的で、十分な情報を与えられたうえでの、明確な同意の意思表示を要求する。CCPAでは、機微データについてはオプトインの同意が必要とされるが、一般的な「販売・共有」の仕組みは目立つ形でのオプトアウトを用いる。米国企業は、CCPAのオプトアウトの仕組みを提供するだけでは、GDPRの適法根拠の要件を満たすことはできない。
データ主体の権利の範囲。 両制度はいずれも、開示、削除、データポータビリティの権利を認めている。GDPRはさらに、第21条に基づく異議申立ての権利と第18条に基づく処理制限の権利を定めており、これらにはCCPA/CPRAに直接対応する規定がない。GDPRはまた、第22条に基づき、CCPAのプロファイリングに関するオプトアウトを超える、自動化された意思決定に関する権利も認めている。
機微データの定義。 CPRAは、一定の用途についてオプトインの同意を要求する「機微な個人情報(SPI)」という区分を新たに設けた。GDPR第9条の特別カテゴリーはこれと類似しているが、完全に一致するものではない。たとえば、CPRAは政府発行のID番号、正確な位置情報、労働組合への加入をSPIに含めるが、GDPRは人種的・民族的出自、宗教的信条、健康データを含める。企業は、自社が保有するデータの種類を、両方の定義に照らして別々に整理する必要がある。
適用の閾値。 CCPA/CPRAは、次の三つの基準のいずれかを満たす営利事業者に適用される。年間総収入が2,500万米ドルを超えること。年間10万人以上の消費者・世帯の個人情報を売買または共有していること。年間収入の50%以上を個人情報の販売・共有から得ていること。これに対しGDPRには収入や取扱件数の閾値は存在せず、第3条(2)項の基準を満たす企業であれば、規模を問わず適用対象となる(一部の条項では小規模な処理者に対して義務が軽減される場合がある)。
処理者とサービス提供者。 GDPR第28条は、管理者に代わってデータを処理する委託先を「処理者」と呼ぶ。CCPA/CPRAは「サービス提供者」という用語を用いる。いずれも、処理の範囲を定めた書面による契約を要求するが、契約に必要な条項は異なる。両方の要件を満たす統合的なデータ処理契約・サービス提供者契約を作成することは可能だが、慎重な起案が必要である。
実務上の含意。 EUのユーザーとカリフォルニア州の顧客・従業員の双方を有する中堅の米国企業は、GDPRとCCPA/CPRAを、データマッピングと委託先管理の基盤を共有しつつも、単一の取り組みとしてではなく、並行する二つのコンプライアンスプログラムとして扱うべきである。監査のステップ(データの棚卸し、委託先契約、プライバシー通知の更新、権利対応の手続き)は重なり合うが、実体的な法的基準は、適法根拠と同意の層において分岐する。
詳細な比較については、GDPRとCCPAの比較ガイドを参照されたい。
EU・米国間のデータ移転:DPFと2021年版SCC
米国企業がEUの事業体(顧客、パートナー、委託先)から個人データを受領する場合、別個の法的論点が生じる。GDPR第5章(第44条から第49条)は、EUから米国を含む第三国へ流れる個人データについて、適法な移転の仕組みを要求している。EU司法裁判所によるSchrems II判決(Data Protection Commissioner v. Facebook Ireland事件、事件番号C-311/18、2020年7月16日)は、それ以前のPrivacy Shieldの仕組みを無効とし、現行のDPFが採択されるまでの間、空白期間が生じることとなった。
現在、主に二つの手段が利用可能である。
EU・米国データプライバシーフレームワーク(DPF)
欧州委員会は2023年7月10日、GDPR第45条(3)項に基づき、EU・米国データプライバシーフレームワークについての十分性認定を、欧州委員会実施決定(EU)2023/1795として採択した。この十分性認定は、米国がDPF認証を受けた米国組織に移転される個人データについて十分な水準の保護を確保していると結論付けるものである。これにより、EUの企業や個人は、その個別の移転について別途の移転契約を締結したり、移転影響評価(TIA)を実施したりすることなく、認証を受けた米国企業に個人データを移転できる。
DPFは米国商務省が運営している。米国企業は毎年、商務省に対して自己認証を行い、通知、選択、二次移転に関する説明責任、セキュリティ、データの完全性と目的の制限、アクセス、そして救済・執行・責任という7つのDPF原則の遵守を約束する。この認証は公開されており、商務省はdataprivacyframework.govにおいて検索可能な認証組織の一覧を維持しており、EUの企業は米国パートナーの認証状況をそこで確認できる。
DPF認証の対象資格は、連邦取引委員会(FTC)または米国運輸省の管轄下にある米国組織に限られる。これは米国の民間企業の大半をカバーする。しかし、GLBA(グラム・リーチ・ブライリー法)のみによって規制される金融機関、FCC(連邦通信委員会)の管轄下にある電気通信事業者、および一部の非営利組織は対象とならない場合がある。自社の資格の有無に確信が持てない企業は、DPFを移転の仕組みとして採用する前に、商務省または法律顧問に確認すべきである。
DPFの十分性認定のもとでは、データがDPF認証済みの米国企業に移転されるEU域内の個人には、四段階の救済手段が用意されている。(1)認証組織への直接の苦情申立て(組織は45日以内に対応しなければならない)。(2)DPFが承認する独立紛争解決機関を通じた解決。(3)未解決の残余請求についてのDPFパネルによる拘束力のある仲裁。(4)移転されたデータへの米国政府によるアクセスに関する苦情については、プライバシー・市民的自由監督委員会(PCLOB)への申立て。この最後の仕組みは、CJEUがPrivacy Shieldを無効とする根拠となった国家安全保障上の懸念に対応するために、特別に設けられたものである。
DPFの長期的な安定性については、法的な検証が続いている。フランスのデータ保護当局(CNIL)などは、EUと米国の監視法制の間には構造的な違いが依然として残っていると指摘しており、将来的にCJEUで異議が申し立てられる可能性もある。十分性認定は、欧州委員会による定期的な見直しの対象となる。単一の十分性認定という政治的な持続性への依存度が低い移転の仕組みを望む米国企業は、念のための対策として、2021年版SCCも併せて締結すべきである。
DPFの訴訟リスクとPCLOBの仕組みについての詳細は、GDPR国際データ移転ガイドを参照されたい。
2021年版標準契約条項(SCC)
DPF認証を受けていない、または契約による移転の仕組みを選好する米国企業は、2021年6月4日の欧州委員会実施決定(EU)2021/914により定められた2021年版標準契約条項を用いる。2021年版SCCは、GDPR以前の2001年および2010年のSCC決定に代わるものであり、これらの旧条項は新規の移転にはもはや使用できない。
2021年版SCCは、異なる移転関係に対応する四つのモジュール構造を採用している。
- モジュール1(管理者から管理者へ): 米国企業がEUの管理者からEUの個人データを受領し、自社の目的のために処理する場合。例:EUのブランドから顧客セグメンテーションデータを受領し、独自に分析する米国のデータ解析企業。
- モジュール2(管理者から処理者へ): 米国企業が、もっぱらEUの管理者に代わってEUの個人データを処理する場合。例:EU企業のために処理者として機能する米国のクラウドホスティング事業者、メール配信プラットフォーム、マーケティングオートメーションツール。
- モジュール3(処理者から再委託先へ): 米国企業が、EUの処理者から委託を受けた再委託先として機能する場合。例:EUのクラウド事業者が利用する米国のデータセンター。
- モジュール4(処理者から管理者へ): 米国企業が処理者として、EUの管理者にデータを送り返す場合。これは最も稀なシナリオである。
モジュールの選択を誤ること自体が、コンプライアンス上の不備となる。EUの取引先からEUのデータを受領する米国企業は、SCCを締結する前に、その処理活動について自社が管理者として行動しているのか、処理者として行動しているのかを正しく判断しなければならない。
2021年版SCCはまた、当事者に対し、移転影響評価(TIA)の実施を求めている。この評価では、米国のデータ輸入者が、米国の法律(FISA(外国諜報監視法)第702条や大統領令12333号などの国家安全保障当局の権限を含む)がSCC上の義務と抵触しないかどうかを評価する。輸入者は、SCCを遵守できない場合はEUの輸出者に通知しなければならず、米国法が保護の隙間を生じさせる場合には補完的措置(暗号化、仮名化、契約上のアクセス制限)に合意しなければならない。データ主体はSCCの第三受益者であり、いずれの当事者に対しても条項を執行することができる。
多国籍グループのための拘束的企業準則(BCR)
第三の移転の仕組みである拘束的企業準則(BCR)は、グループ内で国境を越えてデータを移転する多国籍企業グループが利用できる。BCRは主導的なDPAの承認を必要とし、取得までに数か月を要する。実務上、これはグループ内で継続的かつ大規模な国境を越えた移転を行う大規模多国籍企業にのみ現実的な選択肢である。ほとんどの米国企業にとっては、DPFの自己認証または2021年版SCCが実務上の選択肢となる。
米国企業に対するGDPR執行の実例
GDPR第83条に基づく制裁金は、EU域外の企業に対しても、EU域内に拠点を置く事業体と同じ条件で適用される。いくつかの画期的な執行事例は、米国に本社を置く、または米国発祥の企業を直接の対象としてきた。
Meta Platforms(アイルランドDPC、2023年5月): アイルランドのデータ保護コミッション(DPC)は、Meta Platforms Irelandに対し、SCCのもとでEUユーザーのデータをMetaの米国サーバーに移転した際、Schrems II判決で指摘された米国監視法制の隙間に対処するための十分な補完的措置を講じていなかったとして、12億ユーロの制裁金を科した。これは2026年半ば時点で記録に残る単一のGDPR制裁金として最大のものであり、EU拠点(アイルランド子会社を通じて第3条(1)項が適用された)を有する米国発祥の企業が対象となった事例である。DPCはまた、MetaにEU・米国間のデータ移転の停止を命じた。
WhatsApp Ireland(アイルランドDPC、2021年9月): DPCは、WhatsAppに対し、透明性に関する違反、具体的にはEUユーザーに対して自己のデータがWhatsAppと他のMeta系企業の間でどのように共有されているかについて十分に明確な情報を提供していなかったとして、2億2,500万ユーロの制裁金を科した。この事件は、Metaの主導的管理者としてのEU拠点を通じた、ワンストップショップの仕組みのもとで処理された。
Amazon Europe(ルクセンブルクCNPD、2021年7月): ルクセンブルクの国家データ保護委員会(CNPD)は、Amazonに対し、有効な適法根拠なくEUユーザーの行動ターゲティング広告データを処理した、具体的にはユーザーの閲覧履歴・購買履歴に基づいて構築された広告ターゲティングを理由に、7億4,600万ユーロの制裁金を科した。AmazonはEUの事業体を通じて事業を行う米国企業であり、AmazonのEU本部がルクセンブルクにあることから、CNPDが主導的当局として対応した。
Google LLC(フランスCNIL、2022年1月): CNILは、Google LLC(米国の親会社)に対し、有効な同意なくユーザーの端末に広告用クッキーを設置し、かつクッキーの拒否手続きを受諾手続きよりも困難にしたことを理由に、1億5,000万ユーロの制裁金を科した。この制裁金は、EU子会社だけでなく、米国の親会社そのものを対象としたものである。
Google Ireland(アイルランドDPC、複数件): DPCは、Google Irelandに対し、解析データの保持やターゲティング広告の慣行に関する複数の調査を行ってきた。
これらの執行事例は、米国企業が理解しておくべきいくつかの点を示している。第一に、制裁金は米国の親会社を含む企業全体に対して算定される。第二に、EU域外の事業体に対する執行の仕組みには、EU代理人を通じた執行のほか、EUの事業体に対して法令を遵守しない米国のパートナーへの移転を停止するよう命じることによる、商業上の圧力の行使が含まれる。第三に、ワンストップショップの仕組みのもとでは、米国企業がどこにEU拠点を置くかによって、どのDPAが国境を越えた調査を主導するかが決まり、アイルランドDPCとルクセンブルクCNPDは、大手テクノロジー企業にとって特に活発な主導的当局となっている。
米国企業のための完全なGDPRコンプライアンスチェックリスト
GDPRが適用されると判断することは、出発点であって、ゴールではない。第3条(2)項の適用範囲に含まれる米国企業は、GDPR上の管理者としての義務のすべてを満たさなければならない。
ステップ1:第27条のEU代理人を選任する。 書面による選任、EU加盟国における拠点、プライバシー通知における氏名(名称)の開示。例外:第27条(2)項の限定的な適用除外が真に該当する場合に限る。
ステップ2:データマッピングを実施する。 処理するEU個人データのすべてのカテゴリー、各処理活動の目的、依拠する適法根拠、保有期間、そして第三者の処理者・受領者を特定する。これが第30条の処理記録の基礎となる。
ステップ3:すべての処理活動について適法根拠を確立する。 第6条(1)項のもとでは、各処理活動は、同意、契約、法的義務、生命に関する利益、公共の任務、正当な利益(比較衡量テストを要する)という六つの適法根拠のいずれかに基づかなければならない。マーケティング活動には通常、同意が必要である。契約の履行という根拠は、データ主体との契約を履行するために処理が必要な場合に適用される。正当な利益には、その利益が正当であること、処理がそのために必要であること、データ主体の利益・権利がそれを上回らないことという、文書化された三段階のテストが必要である。
ステップ4:プライバシー通知を更新する。 第13条・第14条の情報通知は、管理者(および該当する場合はEU代理人)の氏名(名称)と連絡先、各処理活動の目的と適法根拠、第三国への移転の有無とその際に用いる仕組み、保有期間、そしてデータ主体の権利(開示、訂正、削除、処理制限、データポータビリティ、異議申立て、監督機関への苦情申立ての権利)を開示しなければならない。
ステップ5:データ主体の権利(DSR)対応の手続きを構築する。 GDPRは、EU居住者に対し、自己のデータへの開示請求権(第15条)、訂正権(第16条)、削除権(第17条)、処理制限権(第18条)、データポータビリティの権利(第20条)、異議申立て権(第21条)を認めている。請求には、原則として暦月で1か月以内に対応しなければならず、複雑な請求については2か月の延長が可能である。年に1回目の請求については、費用を請求することはできない。
ステップ6:クッキーと同意の監査を実施する。 米国企業のウェブサイトの多くは、有効なGDPR上の同意(自由な意思に基づき、特定的で、十分な情報を与えられ、明確であり、撤回が同意と同じくらい容易であること)を必要とする広告用・解析用のクッキーを、稼働前に導入している。EDPBおよび複数のDPAは、あらかじめチェックが入ったボックス、包括的な同意、そして(サイトへのアクセスに同意を条件とする)「同意の壁」は、GDPR上の同意の要件を満たさないことを確認している。規則に適合した同意管理の手法には、細分化されたオプトインを備えた階層的な通知と、いつでも同意を撤回できる仕組みが必要である。
ステップ7:第28条の処理者契約を締結する。 自社に代わってEUの個人データを処理する委託先または再委託先(クラウドストレージ、メール配信、CRM、解析ツール、サポートツールなど)にはいずれも、処理の範囲、指示内容、セキュリティ上の義務、再委託先に関する規定、監査権、契約終了時のデータ返却・削除義務を定めた、第28条(3)項に基づく書面によるデータ処理契約が必要である。
ステップ8:データ移転の仕組みを選択する。 自社がEUの事業体または個人からEUの個人データを受領する場合、自社がDPF認証を受けているか、あるいは各移転関係について2021年版SCCが締結されているかを確認する。
ステップ9:侵害通知の手続きを確立する。 第33条は、個人データの侵害が自然人にリスクを生じさせるおそれが低い場合を除き、その事実を認識してから72時間以内に、管轄の監督機関に通知することを要求している。72時間のカウントは、フォレンジック調査が完了した時点ではなく、企業内のチームが侵害を認識した時点から開始する。72時間以内に予備的な通知を提出し、詳細情報を追って提供することも可能である。
ステップ10:データ保護責任者(DPO)の要否を評価する。 GDPR第37条は、公的機関、中核的な活動が大規模かつ定期的・組織的な個人のモニタリングを必要とする企業、そして中核的な活動が特別カテゴリーのデータ(健康、生体情報、遺伝情報、犯罪関連)の大規模な処理を伴う企業に対し、DPOの選任を要求している。標準的なSaaS、Eコマース、専門サービスを提供するほとんどの米国企業は、DPOの基準に該当しないが、大規模な広告技術、ヘルステック、人事解析プラットフォームを運営する企業は、慎重に評価すべきである。
ステップ11:必要な場合はデータ保護影響評価(DPIA)を実施する。 第35条は、大規模なプロファイリング、公衆がアクセス可能な場所の組織的なモニタリング、特別カテゴリーのデータの大規模な処理など、自然人に高いリスクを生じさせるおそれのある処理を開始する前に、DPIAを実施することを要求している。
ステップ12:第30条の処理活動の記録を維持する。 管理者は、すべての処理活動について書面による記録を維持し、監督機関の求めに応じて提供できるようにしなければならない。従業員250人未満の企業に対する第30条(5)項の適用除外は限定的であり、処理が継続的である場合、データ主体にリスクを生じさせる場合、または特別カテゴリーのデータを伴う場合には適用されない。
免責事項: 本稿は、GDPRの域外適用と米国拠点企業への適用に関する一般的な法律情報を提供するものである。これは法的助言ではなく、弁護士・依頼者関係を生じさせるものでもない。GDPR上のコンプライアンス判断は個別の事実に依存するものであり、貴組織が個人データをどのように処理しているかによって異なる。個別の状況に応じた助言については、貴組織の法域で資格を有する弁護士またはデータ保護の専門家に相談されたい。本稿の情報は2026年6月時点で確認済みである。
Frequently Asked Questions
GDPRは米国企業にも適用されるか。
適用される。GDPRは、第3条(2)項の二つの基準のいずれかを満たす米国企業に適用される。すなわち、その企業がEU域内の人々に商品またはサービスを提供している(無料であっても該当する)、あるいは広告用ピクセル、解析プロファイリング、位置情報のトラッキングなどを通じてEU域内の人々の行動を監視している場合である。EU域内に物理的な拠点を有している必要はない。判断の分かれ目は、その企業が意図的にEUのユーザーをターゲットにしているか、あるいはEU域内にいる間のその人々の行動を技術的に監視しているかどうかである。
自社の米国のウェブサイトはGDPRに準拠する必要があるか。
これは、そのウェブサイトが第3条(2)項のいずれかのトリガーに該当するかどうかによる。ウェブサイトがEU通貨での決済を受け付けている、EUへの配送を提供している、EU向けの広告を運用している、あるいは個々のEU訪問者を長期間追跡する解析・広告用ピクセルを使用している場合には、GDPRが適用される可能性が高い。前文23項は、EU域内で単にアクセス可能であるというだけでは不十分であることを明確にしている。EU向けの機能、EU向けの決済手段、EU向けの広告を一切持たない、米国向けのみの英語サイトは、EU居住者がたまに訪問することがあったとしても、それだけでGDPRの適用トリガーとなる可能性は低い。
第27条のEU代理人とは何か。自社の米国企業には必要か。
第27条代理人とは、EU域外の企業がデータ主体および監督機関にとっての現地窓口として選任する、EU加盟国に拠点を置く自然人または組織のことである。貴社の処理に第3条(2)項が適用され、かつ第27条(2)項の限定的な例外(処理が臨時的であり、大規模な特別カテゴリーのデータを伴わず、データ主体へのリスクが最小限である場合に限られる)に該当しない場合、貴社の米国企業には代理人が必要である。継続的なEU顧客基盤、マーケティングリスト、または解析プログラムを有するほとんどの米国企業は、代理人を選任しなければならない。これを怠ることは、第一階層(第83条(4)項)の違反であり、最大1,000万ユーロまたは全世界年間売上高の2%の制裁金の対象となる。
EU域内に資産を持たない米国企業にも、EUは制裁金を科すことができるか。
できる。GDPRの制裁金は事業体に対して算定され、複数の方法で執行されうる。第27条代理人を通じた執行、法令を遵守しない米国パートナーへの移転を停止するようEU拠点の事業体に命じること、そして国境を越えた法的執行の仕組みを通じた執行である。EUのデータ保護当局は、EU子会社を通じて事業を行う米国本社の企業に対し、10億ユーロを超える制裁金を科してきた。EU域内に資産を全く持たずに事業を行う米国企業は、制裁金を実際に回収することはより困難であるが、EUへのデータ移転を差し止める執行命令がもたらす評判上・商業上の影響は、いずれにせよ深刻である。
米国企業にとって、GDPRとCCPAの違いは何か。
GDPRは、処理を開始する前にすべての処理活動について適法根拠を要求する(事前許可のモデル)のに対し、CCPA/CPRAは、個人情報の販売・共有について事後のオプトアウトのモデルを採用している。GDPRの同意の基準は、自由な意思に基づき、特定的で、十分な情報を与えられたうえでの、明確な同意の意思表示を要求する。CCPAの一般的な枠組みは、消費者が販売・共有をオプトアウトしない限り、処理を許容する。GDPRは、収入の多寡にかかわらず、EU居住者をターゲットにする、または監視するあらゆる企業に適用される。CCPA/CPRAは、特定の収入または取扱データ量の閾値を満たす、カリフォルニア州の営利事業者に適用される。EUとカリフォルニアの双方に関わる企業には両方のコンプライアンスプログラムが必要となるが、データマッピングと委託先管理の基盤は共有できる。
EU・米国データプライバシーフレームワークとは何か。自己認証はどのように機能するのか。
EU・米国データプライバシーフレームワーク(DPF)は、欧州委員会が2023年7月10日に採択した十分性認定の仕組みである(決定2023/1795)。これにより、EUの事業体は、移転ごとに標準契約条項を締結することなく、自己認証を行った米国組織に個人データを移転できる。米国企業は毎年、通知、選択、二次移転に関する説明責任、セキュリティ、データの完全性と目的の制限、アクセス、救済・執行・責任という七つのDPF原則の遵守を約束することにより、米国商務省に対して自己認証を行う。認証の対象は、FTCまたは運輸省の管轄下にある企業に限られる。DPF認証を受けた組織は、dataprivacyframework.govで公開されている。
DPF認証を取得すれば、米国企業は完全にGDPRに準拠したことになるのか。
ならない。DPF認証が対応するのはデータ移転の仕組みのみである。すなわち、個別の移転ごとにSCCを締結することなく、EUの個人データが認証を受けた米国企業に適法に流れることを可能にするものにすぎない。これは、GDPRの全面的な遵守に代わるものではない。DPF認証を受けた米国企業であっても、すべての処理活動について適法根拠を有すること、第13条・第14条のプライバシー通知を提供すること、データ主体の権利請求に対応すること、第30条の処理記録を維持すること、委託先との間で第28条の処理者契約を締結すること、その他すべてのGDPR上の義務を満たすことが求められる。DPFは移転法上の解決策であり、GDPR全般に対する適合の証ではない。
どのEU監督機関が米国企業に対する管轄権を有するのか。
EU域内に拠点を持たないEU域外の企業は、そのEUのデータ主体が所在する、いずれのEU加盟国の監督機関の管轄にも服する。米国企業が、たとえばアイルランドに第27条代理人を選任している場合、その代理人を通じて生じる事案については、アイルランドのデータ保護コミッションが主たる管轄を有する。代理人がいない場合には、影響を受けるデータ主体が居住する加盟国のいずれのDPAも調査を開始できる。これは、EU域内に拠点を有する管理者に適用される、単一の主導的当局が国境を越えた執行を調整するワンストップショップの仕組みとは異なる。
米国のB2B企業は、EUの取引先担当者についてもGDPRを遵守する必要があるか。
必要がある。EU企業に所属する個人のデータを処理している場合は該当する。GDPRは自然人を保護するものであり、法人を保護するものではない。EU企業の従業員個人の連絡先(氏名、業務用メールアドレス、内線番号)は、自然人を識別するものであるため、GDPR上の個人データに該当する。見込み客の開拓、営業活動、CRM目的でEU従業員の連絡先データを処理する米国のSaaSプラットフォーム、マーケティングオートメーションツール、あるいはアウトバウンド営業チームは、(EU企業を意図的にターゲットにしている場合は)ターゲティング基準、または(連絡先データがプロファイリングや行動追跡に用いられている場合は)モニタリング基準のもとで、適用対象となりうる。一部の国内データ保護法に見られる、取引先担当者データに関する適用除外は、GDPRには存在しない。
米国企業に対する最大のGDPR制裁金はどのようなものか。
2026年半ば時点で記録に残る最大のものは、2023年5月にアイルランドDPCがMeta Platformsに科した12億ユーロの制裁金であり、これはEUユーザーのデータを十分な保護措置なしに米国サーバーに移転したことを理由とするものである。ルクセンブルクのCNPDは2021年7月、有効な適法根拠なくEUユーザーの広告データを処理したことを理由に、Amazonに7億4,600万ユーロの制裁金を科した。アイルランドDPCは2021年9月、透明性に関する違反を理由に、WhatsAppに2億2,500万ユーロの制裁金を科した。フランスのCNILは2022年1月、クッキーの拒否を受諾よりも困難にする同意の慣行を理由に、Google LLCに1億5,000万ユーロの制裁金を科した。これらの事例はいずれも、EU子会社を通じて事業を行う、米国に本社を置く企業を対象としたものである。
Sources and References
- GDPR第3条、第27条、第83条および前文23-24項(EU規則2016/679)(eur-lex.europa.eu)
- EDPBガイドライン3/2018 域外適用に関する指針(GDPR第3条)、バージョン2.0、2019年11月12日採択(edpb.europa.eu)
- 欧州委員会実施決定(EU)2023/1795:EU・米国データプライバシーフレームワーク十分性認定、2023年7月10日(eur-lex.europa.eu)
- 欧州委員会実施決定(EU)2021/914:国際移転のための標準契約条項、2021年6月4日(eur-lex.europa.eu)
- EU・米国データプライバシーフレームワークプログラム:7つの原則(dataprivacyframework.gov)
- EU・米国間データ移転:利用可能な仕組みの概要(commission.europa.eu)
- EU司法裁判所:Data Protection Commissioner v. Facebook Ireland事件(Schrems II)、事件番号C-311/18、2020年7月16日(curia.europa.eu)
- EU司法裁判所:Google Spain v AEPD and Mario Costeja Gonzalez事件、事件番号C-131/12、2014年5月13日(curia.europa.eu)