EU圏ユーザーをターゲットにするときの注意点

「日本製の食器がフランスで人気らしい。フランス人をメインターゲットにした食器のネットショップを作ろう!」

EC・ネットショップは、ひとたびURLを公開すると、全世界からアクセスが可能になります。そのため、上記の例のように、日本国内のEC事業者が、フランス人をターゲットにしたネットショップを開設することも、いとも簡単にできてしまいます。

このような場合に気をつけるべき法律上の注意点について弁護士が解説します。

目次

EUには厳しい個人情報取扱いルールがある

まず、EU圏の消費者をターゲットにする場合に知っておいていただきたいのは、EUには日本などと比較して非常に厳しい個人情報取り扱いのルールが存在するということです。

それが、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」です(2018年5月25日施行)。

GDPRが適用されると、顧客から個人データを取得する際に日本の個人情報保護法よりも厳格な同意が求められる、顧客にデータ・ポータビリティ権等の様々な権利が認められるなど、日本の個人情報保護法を超える対応が求められます。

そしてなによりも怖いのが、GDPRの違反があった場合には、外国の企業に対しても制裁金が課されることです。


実際に、中小企業に対しても、違反があった場合には数千~数万ユーロの制裁金が課されています。大企業に対しても制裁金の発動は容赦がなく、2019年にはGoogleに対して不適切なターゲティング広告があったとしてGDPR違反で5000万ユーロ(約62億円)もの制裁金が課されています。

GDPRはEUの域外でも適用される

GDPRが特殊なのが、「EUの域外(海外)でも適用される」ということです。


もちろん日本も対象です。

なぜ外国の法律が日本にも適用されるのか不思議に思うかもしれませんが、EU域内の個人の情報を取り扱う以上、EU域外の事業者にも等しく個人情報保護に関する規制をするべきであるとの考え方に基づいています。

あらゆるネットショップがGDPRの対象になるの?

では、ありとあらゆる日本のネットショップが、GDPRの適用対象になるのでしょうか?

答えは「NO」です。

たしかにウェブサイトのURLを公開すると、EU圏含め全世界からアクセスが可能になりますが、それだけでGDPRが適用されるわけではありません。

GDPRが適用される日本のネットショップは、大きく分けて2パターンあります。

①EU圏内に何らかの物理的拠点を有している場合(GDPR第3条第1項)

EU圏内に何らかの物理的な拠点を有している場合は、GDPRの適用対象となる可能性が極めて高いです。

たとえばネットショップを基幹としつつもパリに実店舗を出店している場合などは、GDPRの適用対象になります。

②EU圏のユーザーをターゲティングしている場合(GDPR第3条第2項)

日本のネットショップにとって重要なのがこちらです。

EU圏内に物理的な拠点を有していない場合であっても、EU圏のユーザーをターゲティングしているネットショップに関しては、GDPRが適用される可能性が出てきます。

EU圏のユーザーをターゲティングしているかどうかについて、GDPRの前文では、以下の要素の総合的な評価で決定するものとされています。

  • EU 域内から詳細な情報にアクセスできるか
  • EU圏内で通用する言語(英語等)でサイトが表示されているか
  • EU圏内で通用する通貨(ユーロ等)を用いた決済が可能か
  • EU 域内にいる消費者又は利用者に関する言及があるか


さらに、GDPRのガイドラインでは、以下の事項についても考慮要素に含めるとしています。(ネットショップに関係のない事項は割愛しています)

  • 提供する物品又はサービスに言及する際に、EU 又は少なくとも 1 つの加盟国の名称が言及されているか
  • EU域内の消費者によるWebサイトへのアクセスを促すためにGoogle広告などの有料キャンペーンを利用しているか
  • EU 加盟国内から連絡する専用のメールアドレスや電話番号を記載しているか
  • 「.de」など、日本以外のトップレベルドメイン名の使用、又は「.eu」など、中立的なトップレベルドメイン名の使用
  • EU域内の消費者のレビューの掲載の有無
  • EU加盟国内での物品配送に対応しているか


以上あげた考慮要素のうち相当部分に該当している場合は、GDPRが適用されるものとしてショップ運用をすることが無難です。

GDPRの対象になる場合の対策

GDPRの適用対象となる場合、まずは最低限の対策として、EU圏内の顧客むけのGDPRに対応したプライバシーポリシーを整備しましょう。


通常のプライバシーポリシーと合体させて、ひとつのプライバシーポリシーを作成しても法的には構いませんが、日本のプライバシーポリシーとは根拠となっている法律が異なるため、面倒ではありますが、「EU向けのプライバシーポリシー」と「日本を含めたそれ以外の国向けのプライバシーポリシー」を2種類掲載しておくことを推奨します。

さらにEU向けのものに関してはEU圏内の顧客にとって判読可能であることが求められますので、英語版の掲載も必須になります。

この点、法律文書ジェネレーター KIYAC (キヤク) を使えば、日本語/英語のGDPRプライバシーポリシーを、いくつかの質問に答えるだけで自動生成することができますので、大変便利です。

まとめ

いかがでしたでしょうか。

まずはGDPRが日本のネットショップにも適用される可能性を十分に認識した上で、必要な対応を講じましょう。また、運用面での法的な疑問が生じた場合は、弁護士への相談も検討しましょう。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次