今回から、処理の適法性の根拠の内「同意」について解説していきます。
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) |
Q1: GDPR上の「同意」の位置づけは?
A1: 本Q&A第21回(前回)で解説した通り、GDPRでは、個人データの全ての処理について明確・積極的な適法性(lawfulness)の根拠が要求されており、データ主体(本人)の「同意」は、契約履行上の必要性/法的義務遵守上の必要性/管理者等の正当利益の他、一般企業(管理者)が通常の業務で個人データの処理の適法性の根拠とすることができる事由の一つです。 日本の個人情報保護法のように本人の「同意」が最も優先すべき原則的根拠とされている訳ではありません。 むしろ、Q2で解説する通り、GDPR上、データ主体は同意をいつでも撤回することができるとされているので、企業としては、契約履行上の必要性等、他に処理の適法性の根拠とすることができるものがあればそれを根拠とした方がよい場合もあります。Q2: GDPR上の「同意」の要件は?
A2: GDPR上、管理者(または処理者)による個人データの処理に対するデータ主体の同意は、以下の全ての要件を満たさなければならないとされています。
【有効な同意(意思)の要件】 同意(consent)は、 ①自由意思による(freely given)、 ②特定・具体的でかつ目的ごとの(specific)、 ③必要な情報を与えられた上での(informed)、 ④言葉による(by a statement)または明確な積極的行動による(by a clear affirmative action)、 ⑤曖昧さのない(unambiguous)、 同意でなければならない(4(11))。【「明白」な同意を要求される場合】 上記にかかわらず、以下のいずれかの処理に対しては、上記の「曖昧さのない(unambiguous)」の部分は「明白な(explicit)」(同意)でなければならない。 ①特別カテゴリーの個人データの処理(9(2)(a)) [例:個人の健康に関するデータの処理] ②自動的な処理のみに基づいた決定(完全自動意思決定)(22(2)(c)) [例:人間が関与しないソフトによる与信や採用の決定] ③EU域外への移転(49(1)(a))【同意取得の証明義務】 データ主体の同意を処理の根拠とする場合管理者は同意取得を証明(demonstrate)できなければならない(7(1))。【有効な同意要請方法の要件】 管理者は、データ主体の同意を、他の事項も記載されているものの中で[例:サービス利用規約中で]要請する場合、 ①他の事項とは明確に区別し(distinguishable from other matter)、 ②分かり易く(intelligible)かつ情報を見つけ易い(easily accessible)形で、 ③明確かつ平易な言葉(clear and plain language)を用いて、 要請しなければならない。 これに反した場合その同意は無効となる(not be binding)(7(2))。【同意撤回の自由とその事前通知義務】 データ主体は同意をいつでも撤回する(withdraw)ことができる。但し撤回前の処理はなお適法とする。この同意撤回の権利については同意取得前にデータ主体に伝えなければならない。撤回は同意と同様容易でなければならない(以上7(3))。【未成年者の保護者からの同意取得義務】 次の場合は、保護責任者(holder of parental responsibility)の同意または承認を要する(8(1))。 ①個人データを、情報社会サービス(information society services)(*1)において処理する場合であって、かつ、 ②データ主体が16歳(*2)未満の場合 (*1) ほぼインターネット等によるオンラインサービスと考えてよい。 (*2) 但しEU各加盟国は国内法で13歳まで引下げ可能。 管理者は、この保護責任者の同意または承認を確認するため、利用可能なテクノロジーを踏まえ、合理的な努力をしなければならない(8(2))。【同意の自由意思性の判断要素】 同意が自由意思に基づいてされたものであるかどうかの判断においては、必ずしもその同意がなくても契約の履行[例:サービスの提供]が可能であるのに同意を契約履行の条件としているか否かが最も重視(utmost account)される(7(4))。 これを条件としている場合は、通常、自由意思によるものとはみなされない(前文(42))。 |
Q3: 不適切な「同意」の例は?
A3: 以下にGDPR前文に記載されている例を示します。
【有効な同意取得が否定される例】 [データ主体の有効な同意を得るためには、] Webサイト上のチェックボックスへのチェック、プライバシー設定の選択、その他、その状況下において、データ主体の同意意思が明示される方法によらなければならない。 従って、同意は、黙示(silence, inactivity)またはチェックボックスに予めチェックが入った方法によるもの(pre-ticked boxes)であってはならない(前文32)。 管理者が同意取得のため用意する書面には不公平な条件(unfair terms)を含めてはならない(前文42)。 以下の例の場合、その同意は自由意思に基づくものではないと推定(presumed)される(前文(43))。 ①データ主体と管理者との間に明確な立場・力の不均衡(imbalance)がある場合。[例:会社と従業員間] ②処理ごとに別々に同意がなされること(separate consent)が適切なのに、そうされていない場合。[例:一括同意の選択肢しか提示されない場合] ③同意が契約履行(例:サービス提供等)の条件とされているが実際には同意がなくても履行可能である場合。[例:写真アプリを利用する時にGPS位置測定を有効化すること(そのアプリの利用上必須でない)に対し同意を要求され、同意ボタンを押さないと利用を開始できない場合] |
Q4: 同意のガイドラインとは?
A4: GDPR上の同意について、WP29[1](現在のEDPB[2]の前身である監督機関の連合体)が2018年4月10日に採択した"Guidelines on Consent under Regulation"[3] (本Q&Aにおいて「同意ガイドライン」という)のことです。上記Q2で説明したGDPR上の同意に関する規定に関し、具体例と解釈を示しています。 今回はここまでです。 次回から、「同意ガイドライン」の内容を解説していきます。【著者の最近の個人情報保護関連書籍】
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」 2019年11月
「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー
[4] 【注】 [1] 【「WP29」】 A Working Party on the Protection of Individuals with regard to the Processing of Personal Data - データ保護指令第29条に基づき、各EU加盟国の個人データ保護機関(DPA)、欧州データ保護監督官(European Data Protection Supervisor)(EDPS)および欧州委員会の各代表者で構成されていた独立機関である。EDPB発足までGDPRについても意見書を作成・公表していた。 [2] 【「EDPB」】 European Data Protection Board (欧州データ保護会議)。GDPR第68条に基づくWP29の後継組織である。加盟国間におけるGDPRの一貫性のある適用・運用を任務としする(70) 。その任務にはGDPRに関する意見書・ガイドラインの作成も含まれる。EDPBの意見書等の掲載サイト [3] 【同意ガイドライン】 PPC(日本の個人情報保護委員会)による和訳(英文併記) PPC(日本の個人情報保護委員会)による和訳(英文併記) [4]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。 (*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |