前回のコラムではGDPR遵守の重要性を解説しましたが,今回以降は法的な観点からGDPRの特徴を解説します。

厳格な同意要件

個人データの「取扱い」とは,データの収集,保管,使用の全てを含む非常に広い概念であるところ(GDBR第4条(2)),管理者が個人データを適法に取扱うためには第6条に列挙された6つの法的根拠のいずれかに該当することが必要となります。実務上,最も重要と思われるのは,同条第1項(a)に規定されたデータ主体の同意です。すなわち,データの主体(本人)が管理者による取扱いに同意していれば,そのデータの取扱いは適法になります。この規制自体は日本の個人情報保護法も同様ですし,一見シンプルにも見えますが,GDPRが特徴的なのはその同意要件の厳格さです。

GDPRの先代であるデータ保護指令においても同意は明瞭(unambiguous)でなければならないと規定されていましたが,GDPRはこれを更に厳格にして,データ主体による同意は,

① 自由に与えられ(freely given),

②特定され(specific),

③説明を受けた上のもので(informed),かつ

④明瞭(unambiguous) でなくてはならないと規定します(第7条(a))。

更には,データの取扱いが同意に基づくものである場合,管理者はその同意についての立証責任を負うとされています(第7条1項,前文第42項)。多くのデータ主体から個人データを取得する場合には個別の立証作業を行うことは現実的には難しいと思われますので,同意を得るためのプロセス全体から見て,これらの要件を満たすとの立証を行う必要があります。それぞれの要件について詳細を見ていきましょう。

 

①   自由に与えられたもの(freely given)であること

自由に与えられたものとは,強制されていない,あるいは他の選択肢があるということを意味します。詐欺や脅迫によって同意を得た場合にこの要件を満たさないのは当然ですが,この規定が主に想定しているのはより判断が難しい場合についてです。

この要素を検討にあたっては,契約の履行に不必要な個人データの取扱いへの同意の有無が契約の条件となっているかについて最大限考慮されなければなりません(第7条(4))。例えば,不適切に一つのサービスと他のサービスに対する同意を「抱き合わせ」ることにより,両方のサービスに基づく個人データの取扱いに同意する以外の選択肢がない場合(個別のサービスごとに同意できない場合),データ主体の選択の余地が制限されているため,「自由に与えられたもの」とは認定されない可能性があります。前文第43項は,この様な場合には「自由に与えられたもの」ではないと推定するとしています。

 

②   特定されたもの(specific)であること

データの管理者が同意に基づいて個人データの取扱いを行う場合,常に,明確かつ公正な目的を説明した上で,その目的に応じた特定の同意を得なければならないとされています。これは,ウェブ上のサービス等において,当初の機能からサービスが拡充され,次第に当初の目的とは全く異なったサービスにまで個人情報が使用されること(いわゆるファンクションクリープ現象)を防ぐためです。

一定の目的の元で取得,使用した個人情報は他の目的で使用することはできません。管理者は同意以外にデータ取扱いの法的根拠がない場合には,新たな目的の下でデータ主体から特定の同意を得る必要があります。概括的ではなく特定の目的を要求することによりデータ主体が自己のデータをより詳細にコントロール出来ると考えられています。

 

③   説明を受けた上でのもの(informed)であること

GDPRはデータ取扱いの透明性を基本原則の一つとしています(第5条)。真に自由な意思に基づく同意のためには先立って重要な情報が提供されていることが不可欠となります。

では,十分に説明したというためには管理者はどの程度の説明を行えば良いのでしょうか。

  • 説明の範囲

第29条作業部会のガイドラインによれば,少なくとも以下の情報が提供されなければならないと考えられています

  • 管理者の身元
  • データ取扱いの目的
  • 収集・利用されるデータの種別
  • データ主体に同意を撤回する権利があること

同意による取得の場合に限らず,GDPR上,管理者には,データ主体に対して,一定の情報提供義務が課されています(GDPR第13,14条)。同条の要件に沿って通知を行なっていれば,本要件は満たされる場合が多いと考えられます。

なお,データ主体はいつでも同意の撤回をすることが出来ますが,これに加えて同意を得る前に同意を撤回する権利があることを説明する必要があることも法律上の要請です(第5条(3),第13条2.(c))。

  • 説明の方法

説明の方法についても言及があります。

  • データ取扱いに対する同意以外の事項も含む書面にて同意を行う場合,データ取扱いに関する同意の要求は明確に他の部分から区別できる様になっていなければならない。すなわち,データ取扱いに対する同意に関連する情報は,一般的な約款の契約条項に隠されてはならない。
  • 同意の要求は,弁護士ではなく一般的な人にとっても理解しやすく,明確かつ平易な言葉を使用しなければならない。

 

④   明瞭(unambiguous)であること

同意についての定義を定めた第4条11項はデータ主体による同意は,「陳述,又は明確な積極的行為により」表明されたものでなければならないと規定しています。データ主体が特定の取扱いに積極的に同意したことが明らかでなければなりません。

電子的な方法で同意が行われることを認められており(前文第32項),インターネットサービスの場合,適切に説明を受けたデータ主体が同意を表示するボックスにチェックを入れる行為も「明確な積極的行為」と認められます。ただし,注意を要するのは,予めチェックを入れておいたボックスを利用すること及びデータ主体の沈黙や何もしないことについては同意のための「積極的行為」とは認められません。GDPRはデータ主体の同意に関してオプト・アウトの仕組みを認めていないのです。

 

同意の撤回

一旦は,管理者のデータ取扱いに同意していたとしても,データ主体はいつでも管理者に対する同意を撤回することが出来ます(GDPR第7条(3))。データを撤回し得ることについて,管理者は同意を得る前にデータ主体に説明しなければなりません。また,同意の撤回は,同意を行うのと同じ様に容易でなければなりません。事業者には,利用者の増加・維持のため,同意については容易にさせ,同意撤回については複雑な方法と取らせるというインセンティブが働きますが,GDPR下では,この様な手法を使うことは許されていません。

同意が撤回されたとしても,その時点までの管理者によるデータの取扱いが不適法となるわけではありません。しかし,この時点以降,同意以外のデータ取扱いの根拠がないのであれば,管理者は直ちに当該データ主体のデータの利用を停止し,消去しなければなりません。データ管理者としては同意の撤回があった場合には契約の履行などGDPR第6条列挙の法的根拠がないか検討する必要が出てくるでしょう。

また,データ取扱いの法的根拠に変更があるのであれば,第13条,第14条の規定に沿って,その旨データ主体に通知する必要があると思われます。

(文責:山村真登)

弁護士・ニューヨーク弁護士 山村真登
2008年The University of Adelaide(オーストラリア連邦) 商学部国際ビジネス科卒業,2012年同志社大学法科大学院修了,2018年New York University School of Law (アメリカ合衆国ニューヨーク州) LL.M 修了,2019年ニューヨーク州弁護士登録。 京都や関西の企業に対し,国際的な取引や活動全般に関してアドバイスを行う他,外国人事件,事業承継や相続等に関する紛争,個人の賠償請求等に関する訴訟等も数多く手掛けている。企業のCSR活動に対するアドバイスの実績もある。