問題
問18 EUの一般データ保護規則(GDPR)に関する記述として,適切なものだけを全て挙げたものはどれか。 a EU域内に拠点がある事業者が,EU域内に対してデータやサービスを提供している場合は,適用の対象となる。 b EU域内に拠点がある事業者が,アジアや米国などEU域外に対してデータやサービスを提供している場合は,適用の対象とならない。 c EU域内に拠点がない事業者が,アジアや米国などEU域外に対してだけデータやサービスを提供している場合は,適用の対象とならない。 d EU域内に拠点がない事業者が,アジアや米国などからEU域内に対してデータやサービスを提供している場合は,適用の対象とならない。
選択肢
- アa
- イa, b, c
- ウa, c
- エa, c, d
解説
正解:ウ
概要
この問題は、EUの一般データ保護規則であるGDPRの適用範囲について問うものです。事業者の所在地と、どこに向けてデータやサービスを提供しているかがポイントになります。
正解の理由
aは、EU域内に拠点があり、EU域内にサービスを提供している場合なのでGDPRの適用対象となり正しいです。cは、EU域内に拠点がなく、EU域外にのみサービスを提供している場合であり、EUの個人データを扱わないため適用対象外で正しいです。したがって、aとcを挙げたウが正解です。
各選択肢の解説
ア(×): aのみを挙げていますが、cも正しい記述です。EU域内に拠点がなく、EU域外だけにサービスを提供している場合はGDPRの適用対象外となるため、aだけでは不十分です。
イ(×): a, b, cとしていますが、bは誤りです。EU域内に拠点がある事業者は、たとえ域外向けサービスであっても、活動がEU拠点に関連する場合はGDPRの適用対象となるため不適切です。
ウ(〇): aとcを挙げており正しい組合せです。EU域内に拠点があり域内向けに提供する場合は適用対象となり、EUと無関係な域外のみの事業は原則として対象外です。
エ(×): a, c, dとしていますが、dは誤りです。EU域内に拠点がなくても、EU域内の個人に対して商品やサービスを提供する場合はGDPRの適用対象となります。
ポイント
GDPRは事業者の所在地だけでなく、EU域内の個人データを扱うかどうかで適用が決まります。域外企業でもEU向けサービスを行えば対象になる点を押さえましょう。