EU域外企業に突き付けられる「代理人選任」という新常識─いま日本企業に求められる実務対応とは

EU市場をターゲットにビジネスを展開するには、GDPRにとどまらず、デジタルサービス法（DSA）やデータ法、AI法といったさまざまなデジタル関連規制に対応する必要がある場合がある。これらはすでに広く知られているところだが、欧州当局が調査や執行の窓口として「代理人」の選任を強く求めていることはご存じだろうか。こうした動きはEUに限らず、他の法域にも波及しており、日本企業にとっても無視できない実務課題となっている。

こうした背景を踏まえ、インターネットイニシアティブ（以下、IIJ）は2025年12月11日に「世界で求められる代理人：最新動向と日本企業に求められる対応」と題したウェビナーを開催。EUの政策動向と執行の考え方を整理した上で、各法制度に基づく代理人選任の要件や義務、違反時のリスクについて、IIJ ビジネスリスクコンサルティング本部 DPO部部長の堀江浩司氏から詳しく解説が行われた。本セミナーには海外に向けてビジネスを展開する企業から多数の参加があった。本稿はセミナーの一部を要約したものである。

■セミナー登壇
IIJ ビジネスリスクコンサルティング本部 DPO部部長堀江浩司氏

EU代理人を巡る最新動向

GDPRにおいては、EU域外企業はEUに設置されていないからといってGDPRの責任から解放されるものではなく、EU域内企業とEU域外企業との間で公平な競争を確保するという観点から、EU域外企業に対する執行が重視されている。実際、複数の加盟国において、EU代理人を選任していなかった域外企業に対するGDPRの執行事例が発生している。

GDPRをはじめ、EUのデジタル関連規制にはさまざまなものがあるが、DSAやデータ法、AI法いずれもEU法の遵守に関する調査や執行を円滑に行うため、代理人の選任を重要な要素として位置付けている。

さらに、代理人選任を義務付ける動きは欧州にとどまらず、欧州以外の国や地域にも広がりつつある。海外市場をターゲットとして事業を行う日本企業にとって、代理人選任は実務上避けて通れない。

GDPRにおける代理人

GDPRにおいて代理人を選任すべき場面は、域外適用が認められる場合である。具体的には、EU域外の管理者又は処理者が、EUに向けて物品やサービスを提供する場合、またはEU域内の人の行動を監視する場合が該当する（GDPR第3条2項）。これらの場合、原則として書面による代理人の指定が必要となる。例外規定も設けられているが、「一時的」であり、かつセンシティブデータを含まず、かつ権利や自由へのリスクが低い場合に限られるとされている（第27条2項）。

EU域外に所在する管理者や処理者が違反行為を行った場合、代理人に対して法執行手続を行うことが想定されている(前文80項)。GDPRのガイドラインにおいても、代理人制度はGDPRの効率的な執行を確保することを明確な目標として導入されたものであり、当局が直接代理人に向けて執行を行う可能性があることが示されている。

なお、代理人選任義務違反に対する制裁の上限は、1,000万ユーロまたは全世界売上総額の2％以下のいずれか高い方と定められている。

デジタルサービス法(DSA)における代理人

DSAは、仲介サービスの提供者の所在地を問わず、域内に事業所を有し、またはEUに所在するサービス受領者に提供される仲介サービスに適用されると定められている（DSA第2条）。仲介サービスとは、情報社会サービスのうち、単なる導管サービス、キャッシングサービス、ホスティングサービスの三類型を指す（DSA第4条）。DSAは、EUとの「実質的なつながり」がある場合適用されるとされ、1つまたは複数のEU加盟国を対象とした活動であるかどうかが判断基準の1つとなる。具体的には、通貨、言語、トップレベルドメインの使用など、複数の要素を総合的に考慮して判断される（DSA前文7項および8項）。

EU域内に事業所はないがEU域内でサービスを提供する仲介サービスの提供者は、書面により、当該提供者がサービスを提供する加盟国のいずれかにおいて代理人を選任しなければならない。当該代理人は仲介サービス提供者のDSAに基づく義務の不履行について責任を負う。提供者は代理人の氏名、住所、電子メールアドレス、電話番号を、その代理人が居住または設立している加盟国のデジタルサービスコーディネーターに通知し、一般に公開しなければならない(DSA13条)。

代理人を選任した場合には当該代理人の所在する加盟国が管轄権を有し、代理人を選任していない場合には、全加盟国または適用される場合には欧州委員会が管轄権を有する（DSA前文123項）。

DSAに基づく義務の違反時の制裁は、最も重い違反の場合、全世界売上総額の6％を上限とする制裁とされている。

AI法における代理人

AI法においても代理人の選任が規定されている。代理人の選任が求められるのは、高リスクAIシステムおよび汎用AIモデルである。

高リスクAIシステムをEU域外から提供する事業者は、書面による委任状により、EU域内に代理人を選任しなければならない。代理人は当局の求めに応じて委任状の写しを提供するなどの義務を負う。また、提供者がAI法に違反していると考える等の場合には、代理人は委任を終了するものとし、代理人は委任の終了及びその理由について当局に通知するものとされている。高リスクAIシステムに関し、提供者又は代理人は、自ら及びそのシステムをEUのデータベースに登録する義務が課されている。

一方、汎用AIモデルではEUデータベースへの登録義務はないものの、代理人に関する義務はAIモデルの代理人と概ね共通している。

なお、違反時の罰則については違反内容に応じて異なっているが、高リスクAIシステム、汎用AIモデルのいずれにおいても、制裁金の上限は1,500万ユーロまたは全世界売上総額の3％以下のいずれか高い方とされている。使用が全面禁止されているAIシステムにおける違反をした場合には、3,500万ユーロまたは全世界売上総額の7%以下のいずれか高い方とされている。また、監督機関の要請に対して不正確、不完全または誤解を招く情報を提供した場合には、750万ユーロまたは全世界売上総額の1％以下のいずれか高い方とされている。

データ法の代理人

データ法においてもEU域内で接続製品を提供またはサービスを提供するもののうち、EU域内に設立されていない事業体は、いずれかの加盟国においてEU代理人の選任が定められている。当該事業体は代理人が所在する加盟国の管轄権に服する。

代理人を選任するまでの間は、すべての加盟国の管轄権に服することになる。当局は、代理人に対してデータ法の遵守を確認するために必要な情報を要求する権限を有している（データ法37条）。

制裁については各加盟国が定めるとされている。

EU以外の動向は？─各国の状況を整理

英国について、EU離脱後GDPRを国内法に編入しているため、制度の中身はGDPRとほぼ同様である。データ（ユース・アンド・アクセス）法が施行されたところ、代理人に関する規定は変更されていない。域外適用の考え方もGDPRと同様で、英国域内のデータ主体に対する商品・サービス提供や監視に該当する場合、原則として代理人の選任が必要となる。

スイスでは、EUとは異なる個人情報保護法が適用され、同法では広く域外適用が認められる傾向にある。一方で代理人選任義務はEUよりも限定されており、一定の要件をすべて満たす場合にのみ義務が生じる。制裁については停止命令や終了命令が中心である。

トルコでは、トルコに関連するデータ処理やトルコ国民を対象とした事業を行う場合に個人情報保護法が適用されうる。トルコ域外に所在するデータ管理者は代理人を選任し、登録簿にデータ管理者を登録する義務がある

韓国では、域外適用の範囲が広く、一定の条件に該当する場合に代理人選任義務が生じる。代理人は漏えい時の通知や資料提出など広範な責任を負う。

中国については、個人情報保護法においてGDPRと同様の域外適用規定が設けられ、代理人の指定が求められる。

日本企業が押さえるべき実務ポイントとは

次にIIJ ビジネスリスクコンサルティング本部の営業から案内が行われた。

IIJが代理人サービスを提供している実務の例としては、EUや英国、タイにも利用者を持つオンラインゲーム配信事業、複数国向けに決済や配送を行うECサイト運営が挙げられる。また、イベント実施に際して参加者のパスポート情報やビザ情報を取得するケース、インバウンド観光向けにチケットやツアー情報を販売する事業、宿泊施設における予約管理業務なども代表的な例である。

代理人選任にあたっては、そのケイパビリティを慎重に見極める必要がある。対応可能な国・地域の範囲、各国プライバシー法への理解、現地言語での円滑なコミュニケーション能力、当局対応の窓口として機能できる体制が重要な判断軸となる。また、契約や手続きの面では、対応範囲や費用が明確であること、代理人受託のエビデンスをどのように保持できるか、日本国内で契約や支払いが完結できるかといった点も留意点として挙げたいところだ。

IIJでは、EU、英国、スイスの代理人サービスを一つの契約で提供するほか、DSAに基づく代理人サービスや、東南アジアではタイのPDPAに対応した代理人サービスも展開している。代理人は連絡窓口としての役割を担うが、IIJではその後の法令遵守に関する相談対応やインシデント支援といった運用面のサポートも提供可能である。まずはIIJに相談してみるのがいいだろう。

EU代理人サービスについてはこちら