今回も、前回に引続き、GDPR上の処理の適法性の根拠の一つである「同意」に関しWP29[1](現在のEDPB[2]の前身である監督機関の連合体)が2018年4月10日に採択した"Guidelines on Consent under Regulation"[3] (本Q&Aにおいて「同意ガイドライン」という)の内容を解説します。
|
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) |
Q1: 同意取得の証明は?
A1: 同意ガイドラインには以下のように解説されています。【同意取得の証明の原則】
個人データの処理が同意に基づき行われる場合、管理者は、データ主体がその処理に同意したことを証明できなければならない(7(1),前文42)。 管理者は、また、以下を証明できなければならない。 (i) データ主体に必要な情報が事前に提供されたこと。 (ii)その他同意取得のワークフローが有効な同意取得のための全ての要件を満たすこと。【同意取得の証拠保存例】
(a)同意書の保存 (b)オンラインの場合は以下の全て。①同意の意思表示がなされたセッション(コンピュータやネット上の一連の操作や通信)データの記録・保存
②同意取得ワークフローの文書化・保存
③データ主体に提示された情報のコピー保存
(c)電話での同意要請とそれに対する同意の録音・保存。Q2: 同意の撤回については?
A2: 同意ガイドラインには以下のように解説されています。【撤回の容易性】
同意の撤回(withdrawal of consent)は、同意の付与と同程度に容易でなければならない(7(3))。 従って、原則として、同意と同じ方法・条件で同意の撤回ができなければならない。(具体例)
(i)Webサイト/アプリ/ログオン・アカウント/IoTデバイスのインターフェイス/電子メール等で同意した場合、同意の撤回も同じ方法で可能なこと。 (ii)音楽祭のチケットを、24時間営業のオンライン代理店経由で購入しその際個人データの処理に同意した場合、原則として、同じくオンライン代理店経由で24時間いつでも同意を撤回できなければならない。撤回するには、コールセンターに、その営業日の午前8時~午後5時の間に電話しなければならないのでは、同意の付与と同程度に容易とはいえない。【同意撤回の効果】
同意の撤回は、撤回前の同意に基づく処理の適法性に影響を与えない(7(3))。 但し、その処理について他の適法性の根拠(例:契約履行のため)がない場合、管理者は、当該個人データを不当な遅滞なく消去(または匿名化:anonymise)する義務を負う(17(1)b)。 同意撤回後に他の適法性の根拠に基づき処理を継続する場合は、それについても処理の適法性の根拠とすることを、事前にデータ主体に情報提供していなければならない(13, 14)。Q3:情報社会サービス提供に係る子供の同意とは?
A3: 同意ガイドラインには以下のように解説されています。【GDPR上の規定】
情報社会サービス(information society services)(4(25))[ほぼインターネット等によるオンラインサービスと考えてよい]を直接子供に提供する場合でその子供の個人データの処理を同意に基づいて行うときは次の通り扱われる。 (i)その子供が16 歳以上であれば、その子供の同意に基づく処理は適法とする。 (ii)子供が16 歳未満(15歳以下)の場合、保護責任者(the holder of parental responsibility)が、①自ら同意したとき、または、②子供による同意を事後承認したときに限り、当該処理は適法となる。 (iii)加盟国は、国内法により、上記年齢(以下「所定年齢」という)を15歳、14歳または13歳未満に変更することができる(8(1))(*)。 [(*) 脚注[4]の資料によれば、実際に13歳~15歳未満に変更している加盟国がある。しかし、特にオンラインサービス等で加盟国ごとの対応が困難な場合は、16歳未満(15歳以下)の者についてはEU全域で保護責任者の同意または事後承諾を得るという対応にせざるを得ないように思われる。]【子供を特別に保護する理由】
このように子供を特別に保護する理由に関し、前文38では、子供は個人データ処理のリスク等(特に、マーケティング、プロファイリング、子供に直接提供されるサービスに関するリスク)を適切に判断できないおそれがあるからとする。 子供から、適切・十分な情報を提供した上での同意(informed consent)(4(11), 13, 14)を得るためには、その情報提供は子供にとり明確かつ平易な(clear and plain)言葉でなされなければならない(前文58)。【サービス提供先の加盟国の年齢規制】
管理者(サービス提供者)は、その設立国だけでなくサービス提供先の加盟国の年齢に関する他の法規制(もしあれば)にも従わなくてはならない。【年齢確認方法】
(具体例)サービス利用申込者に誕生年かまたは未成年ではないことを入力するよう要請する。なお、年齢確認のために必要以上の個人データを取得してはならない。【サービス利用申込者が所定年齢以上であると申告した場合】
管理者(サービス提供者)が、その真正さを確認する必要性についてはGDPR上明記されていない。しかし、もし上記の年齢未満の場合本人が同意しただけでは処理は違法となるから、確認するための合理的努力(reasonable efforts)が黙示的に(implicitly)要求されている。【サービス利用申込者が所定年齢未満と申告した場合】
管理者は、保護責任者(holder of parental responsibility)の同意を得なければならない。 また、「利用可能な技術を考慮した上、子供の保護責任者が①自ら同意したことまたは②子供による同意を承認したことを確認するため合理的な努力をしなければならない」(8(2))。【年齢確認手順の例】
(手順1) オンラインゲーム利用申込者が16歳未満と入力 (手順2)管理者から申込者に、保護責任者の同意が必要である旨通知するとともに、保護責任者の電子メールアドレスの提供を要請 (手順3)管理者から保護責任者に電子メールを送信し、保護責任の有無を確認する合理的努力を尽くす(リスクの低いケースでは、電子メールで親の責任を確認するだけで十分)。 (手順4)問題が発生した場合手順を追加。【データ主体が16歳に達した場合】
データ主体が親のした同意・承認の撤回(7(3))・変更等をしない限り、当該同意等は処理の適法性の根拠としてなお有効。【各加盟国における契約成立要件との関係】
上記のGDPR上の規定は、各加盟国における子供による契約の成立性・有効性等に関する契約法に影響しない。従って、管理者は、子供から法的に有効な同意を得ようとすればGDPRだけでなく加盟国契約法にも従う必要がある。 同意ガイドラインの解説は以上です。次回は、処理の適法性の根拠として、同意とともに根拠として用いられることが多い「正当利益」(legitimate interest)について解説します。「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー
【著者の最近の個人情報保護関連書籍】
NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」 2019年11月
[5] 【注】 [1] 【「WP29」】 A Working Party on the Protection of Individuals with regard to the Processing of Personal Data - データ保護指令第29条に基づき、各EU加盟国の個人データ保護機関(DPA)、欧州データ保護監督官(European Data Protection Supervisor)(EDPS)および欧州委員会の各代表者で構成されていた独立機関である。EDPB発足までGDPRについても意見書を作成・公表していた。 [2] 【「EDPB」】 European Data Protection Board (欧州データ保護会議)。GDPR第68条に基づくWP29の後継組織である。加盟国間におけるGDPRの一貫性のある適用・運用を任務としする(70) 。その任務にはGDPRに関する意見書・ガイドラインの作成も含まれる。EDPBの意見書等の掲載サイト [3] 【同意ガイドライン】 PPC(日本の個人情報保護委員会)による和訳(英文併記) [4] 【各加盟国における子供の同意に関する年齢の扱い】 GDPR Tracker - Children online - Bird & Bird [5]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。 (*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)
|
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |