第68回から, 各種のインターネットを用いた技術にGDPRおよびePrivacy指令がどのように適用されるかについて解説しています。今回は, モバイル機器(アプリ)とIoTについて解説します。
|
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q2: アプリに対するGDPR/ePrivacy指令の適用は? Q4: アプリによる個人データの処理に対する同意・情報提供は? Q5: IoT(Internet of Things)の例は? Q6: IoTに対するGDPR・ePrivacy指令の適用は? |
Q1: アプリによる個人データの収集は?
A1: スマートフォン, タブレット等のモバイル機器で利用されるアプリケーション(以下「アプリ」(apps)という)は, 以下の通り, 個人の個人データを大量に収集し, しかも, 私的生活に関する詳細な内容を含みます。 【アプリによる個人データの収集】 アプリは, それがインストールされているモバイル機器のセンサーを通じ膨大な量のデータ(例:位置・音声・ビデオ・高度・速度・ユーザの操作)を収集できます。 また, アプリによっては, ユーザのモバイル機器に保存されているデータ(例:ユーザの連絡先データ(contact details), 写真, 電子メール, インターネット閲覧履歴)にアクセスする場合もあります。これらのデータは, アプリ運営者のサーバに転送され, 機器のIDやIPアドレスを介しユーザの機器とリンク(紐づけ)される場合もあります。 デスクトップパソコン等と比較し, スマートフォン等のモバイル機器が複数のユーザによって(例えば家族間で)共有されることは少ないので, これらのデータは一人のユーザに関するものである可能性が高いと言えます。 その結果, スマートフォン等のアプリを通じ収集されたデータは, その量が大量であることに加え, その内容としても, より具体的に特定された個人に関連しかつその私的生活に関します詳細な内容を含むことになります。 例えば, アプリにおいて位置データが利用される場合, その位置データの経時的記録によりユーザの物理的行動の全体が明らかになり, ユーザが繰り返し訪問する場所等の位置データからそのユーザの信仰する宗教や政治的信条を推測できる可能性もあります。Q2: アプリに対するGDPR/ePrivacy指令の適用は?
A2: アプリを通じて収集されたデータは, ユーザのアカウント登録データと紐づけ可能な場合は勿論, これを特定の機器に紐づけできる場合, 個人データに該当しGDPRが適用される可能性が高いと言えます。 また, ePrivacy指令上, ユーザの端末機器への情報の保存または当該情報へのアクセスは, ユーザに当該情報の処理目的その他について情報が提供された上でユーザが同意した場合にのみ許されます(5(3))。従って, アプリがユーザの端末機器にダウンロードされ保存される際や, アプリにおいてCookieと同様の技術(Q4の広告ID)が利用される際に, 事前にユーザの同意を得なければなりません。Q3: アプリにおける「管理者」は?
A3: アプリが個人データを収集し, それをアプリ運営者のサーバに送信する場合, アプリ運営者は, 収集されるべきデータおよび収集後のデータ利用方法を決定していると言えるので, それらデータに含まれる個人データの「管理者」に該当する可能性が高いと言えます。 これに対し, アプリによる個人データの処理がユーザのモバイル機器でのみ実行され, その個人データがアプリ運営者のサーバに転送されない場合, アプリ運営者は「管理者」に該当しません(英国ICOのアプリ運営者向けガイドライン[1]p5)。この場合, アプリ運営者はその個人データを取得その他処理しているとは言えないからです。Q4: アプリによる個人データの処理に対する同意・情報提供は?
A4: 以下の通り, データ主体(ユーザ)の同意と, データ主体への情報提供が必要です。 1.アプリによる個人データの処理に対するデータ主体の同意 デスクトップパソコン等では, Cookieを利用し, ユーザの同一のブラウザ上での全行動度履歴の収集が可能ですが, モバイル機器のアプリで用いられるCookieはそのアプリでしか利用できないので, ユーザのオンライン上の全行動度履歴に基づくターゲティング広告は困難となりました。 そこで, これに対応する手段として, 現在, Android OS端末(Androidスマートフォン, タブレットPC等)については"Google Advertising ID" (AAID), iOS 端末(iPhone, iPad等)については"Identifier for Advertisers"(IDFA)という各端末固有のID(以下「広告ID」という)がそれぞれのOSにより自動的に付与されています。 これらの広告IDはアプリがダウンロードされた際に各端末からアプリ運営者のサーバに自動的に送信され, 各端末におけるユーザ行動をトラッキングすることが可能となっています(なお, IDFAに関しては, 現在, ユーザの設定によりターゲティング広告の拒否・無効化可能)。[2] これらの広告IDとそれに紐づくデータもユーザの端末機器へのアクセスにより取得されることなるので, その取得・処理は, ePrivacy指令とGDPRから, ユーザに当該データの処理目的その他について情報が提供された上でユーザが同意した場合にのみ許されます(5(3))。 同様に, アプリがユーザの機器に保存されている連絡先情報, 写真またはその他のメディアにアクセスする場合も, ePrivacy指令とGDPRから, ユーザの事前の同意が必要となります(5(3))。 2.アプリによる個人データの処理に関する情報提供 ラップトップパソコン, デスクトップパソコン等と比較してモバイル機器では表示可能な画面スペースが限られているので, GDPR第13条または第14条に定めるデータ主体への情報提供に関し特別な工夫を要します。これについては第29回Q7等を参照して下さい。Q5: IoT(Internet of Things)の例は?
Q5: Internet of Things(IoT)とは, 一般的に, インターネットに接続された機器・物(object)同士で直接通信がなされること, または, その仕組みを意味し, 例としては, 以下のようなものが挙げられます。 ・Apple Watch等, 腕時計としてだけでなく血圧や心拍や睡眠管理といった健康管理等が可能なスマートウォッチ(smartwatch), その他ウェアラブル機器 ・家庭の電力使用量を自動的に測定し電力会社に送信しますスマートメーター(smart meter) ・車両の状態や周囲の道路状況等のデータをセンサーにより取得し, ネットワークを介して集積・分析するコネクテッドカー(Connected Car)(自動運転車を含む) ・スマートスピーカー(Amazon Echo, Google Home等)Q6: IoTに対するGDPR・ePrivacy指令の適用は?
A5: IoTにより収集されるデータは, ユーザの登録データと組合わせ可能であれば個人データに該当するのでGDPRの適用を受けます。 また, IoTによるデータ収集は, そのデータが個人データに該当するか否かを問わず, ePrivacy指令第5条第3項のユーザの「端末機器 [IoT自体] への情報の保存または当該情報へのアクセス」を当然伴います。 従って, 同項が適用され, 当該保存・アクセスは, ユーザに当該情報の処理目的その他について情報を提供した上でその同意を得た場合にのみ許されます。Q7:IoTによる個人データの処理に対する同意・情報提供は?
A7: IoTにより収集されるデータが, GDPR上の個人データに該当する場合, その処理の適法性の根拠としては管理者の正当利益(6(1)(f))等も考えらえます。しかし, 次の理由から実際上はユーザの同意に拠らざるを得ないと思われます。 (a)同時にePrivacy指令も適用され, ユーザの同意が必要となる場合がほとんどと思われる。 (b)WP29のIoTに関する意見書[3]によれば, ユーザに関する多種かつ大量のデータを収集するIoTの潜在的プライバシー侵害性を考慮すれば, 管理者の単なる経済的利益を処理の適法性の根拠とすることは困難であること(p15)。 従って, ユーザに対し, GDPR(13, 14)およびePrivacy指令(5(3))に従い適切な情報を提供した上でその同意(GDPR4(11), 7)を得なければなりません。しかし, IoTにおける情報収集は人間の関与なく行われるのでユーザに対する情報提供およびユーザからの同意取得には特別な工夫が必要となります。Q8:IoTにおけるセキュリティーの問題とは?
A8:IoTにおいては, 次のようなセキュリティー上の問題があります。 (a)多くの場合, 非常に多数の機器が同一ネットワーク上に接続されており, ハッキング等の攻撃ポイントが多い。 (b)IoT関連ソフトウェアの更新を人間が行うことは少ないと思われるが, 最新のセキュリティパッチ(security patches)が適用されずセキュリティー上の問題が発生する可能性がある。 従って, IoTにおいては, 特に, 以下に例示するような事項の実施が重要となります。 (i)設計段階からのかつ標準設定でのデータ保護(Data protection by design and by default)(GDPR25) (ii)データ保護影響評価(Data protection impact assessment)(同35) 今回はここまでです。「GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制」シリーズ:過去の回
[4] 【注】 [1] 【ICOアプリ開発者向けガイドライン】 "Privacy in mobile apps: Guidance for app developers" Information Commissioner’s Office (December 2013 v1) [2] 【「AAID」・「IDFA」】 以下のサイトを参照した。(i) Wikipedia "Advertising ID", (iii) Wikipedia "Identifier for Advertisers". (ii) Digtal Marketing Lab「広告IDとは」, (iii) Google(認定バイヤーヘルプ)「IDFA または AAID を使ってモバイルアプリ広告枠をターゲットに設定する」 [3] 【WP29 IoT意見書】 Opinion 8/2014 on the on Recent Developments on the Internet of Things (14/EN: WP 223), page 15 [4]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。|
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を米系(コンピュータ関連)・日本(データ関連)・仏系(ブランド関連)の三社で歴任。元弁理士(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |