個人データの処理に際し、適法な処理となるための条件は、6条に記載があります。

▼6条 取扱いの適法性(仮訳)

取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である。

  1. データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
  2. データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
  3. 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
  4. データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
  5. 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
  6. 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。

以上の6つから少なくとも、1つを満たす必要があります。

一般的な企業にとって、個人データ処理のための法的根拠は

  • (a)号の「データ主体の同意」
  • (b)号の「契約の履行のため」
  • (f)号の「正当な利益の目的」

が、多くなると考えられます。

■「データ主体の同意」について

まずは、6条1項(a)号の「データ主体の同意」について、確認しましょう。

「同意」の定義については、4条(11)号に記載があり、要約しますと

「同意」とは、「声明または明らかに積極的な行為」による「明確な」意思表示

「同意」の説明は前文 (32)に記載があり、電子的な手段を含め書面であっても口頭であってもよく、ウェブサイト上のボックスにチェックをすることも含まれます。

しかしながら、口頭での同意は、7条1項にある、「同意を証明することができるようにしておかなければいけない」を満たすことは困難ですので注意しましょう。

▼沈黙や、あらかじめチェックされたボックス、または不作為は、ここでいう同意に該当しない。<前文(32)>
▼同意は、「自由になされた」ものでなければならない。<前文(42)>

 

(例)ウェブサイトでクッキーの使用の同意を促すバナーに、「閲覧を継続するか」「バナーを閉じた場合」に「同意とみなします」と記載があります。これはGDPRにおける同意にあたるでしょうか?

これは同意とはみなされません。弁護士の先生や個人情報保護委員会の参事官補殿も、GDPRにおける同意ではないと、仰っておりました。

 

▼処理が複数の目的を有する場合

同意はそのすべてについてなされなくてはいけません。<前文(32)>
同意を得る際に、目的の抱き合わせではいけません。

(例)ダイレクトメールを送ることと、第三者へデータを提供することは処理の目的が異なるので、1つの同意では認められない。
▼データ主体は、いつでも同意を撤回する権利を有する

これは7条に記載があります。

企業は、データ処理の法的根拠を同意に据えている場合、データ主体が同意を撤回すると、法的根拠を失い、これ以上そのデータ主体のデータ処理を行えなくなります。

▼16歳未満の子どもの同意

16歳未満(※)の子どもである場合、当該処理は。保護者の同意がなされている場合のみ、適法(8条1項)

加盟国によって、子どもの年齢の基準が違うので注意)

管理者は、利用可能な技術を考慮して、保護者からの同意が与えられた状況を証明するために相当の努力をしなければならない。(8条2項)

EU域内の子どもに対して、アプリやゲーム、サービス、商品を提供する場合は注意が必要です。

▼従業員情報の取扱いには注意

法的根拠は、雇用者と従業員の関係上、従業員の同意ではあり得ないし、あるべきではない。(同意に関するガイドライン、”Guidelines on consent under Regulation”)

会社と従業員のパワーバランスを考えて、従業員が同意の圧力を感じずにおれるでしょうか。そんな大型新人はなかなかいません。

以上のように適法根拠にデータ主体の同意を以てするのは、ハードルが高いです。

報道等では、GDPRが同意主義のように感じますが、同意はあくまで例外的適法根拠であり、できる限り同意以外の法的根拠で処理できないかを考えるのが実務的です。

 

次回は、

(b) 号の「契約の履行のため」
(f) 号の「正当な利益の目的」

について記載します。

■まとめ

  • 同意は自由になされたものでなければならず、撤回はいつでもできる
  • 同意はあくまでで例外的な適法根拠
  • できる限り同意以外の法的根拠で処理できないかを考える

 

個人の人権を尊重し、GDPR対応を率先して行う先進的な企業へ!
弊社GDPRコンサルティングサービスは下記リンクをご参照下さい。

https://www.crosshead.co.jp/products/sec_all/gdpr/