おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPRではデータ管理者が"適法、公正、および透明な方法で"個人情報を処理することが要求されています。それを満たすには、GDPR第6条で示されている6つの適法根拠のうち、どれを適用するかを決める必要があります。6つの適法根拠のうち、割とすぐにイメージできるのが、データ主体からの「同意」なのですが、その「同意」とみなされるためのハードルが高いのが難点です。「同意」を中心に、他の5つの適法根拠も見ていきましょう。
「同意」について
GDPR第6条で、同意については次のように示されています。日本語仮訳を引用します。
(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
個人情報委員会 一般データ保護規則の条文 より
この「同意」というものがGDPRでは結構複雑です。データ主体の同意の定義はGDPR第4条で示されていますが、"自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する。"と定義されています。
「自由に与えられた」というのは、データ主体が自ら同意を能動的に行えるということであり、同時に、同意の拒否や撤回もできるということです。能動的という点では、サービス規約の中に同意を盛り込ませておくということも認められない可能性が高いでしょう。商品やサービスの提供には必要ないにも関わらず、同意をしなければ商品やサービス提供をしないという仕組みを作ることも「自由に与えられた」と判断されない可能性があります。雇用者と従業員のような力関係の場合、従業員がやむを得ず個人情報の提供を同意するという状況も「自由に与えられた」とみなされないかもしれません。
また同意は「特定され」る必要があります。データ管理者はわかりやすくはっきりと処理の目的を明示しなければなりませんし、目的が複数ある場合にはその分だけ通知も同意も必要になります。処理の目的は、データ管理者としても事前に把握できるものばかりではありませんから、同意に頼りすぎているとその後に柔軟に対応できないということもあり得ます。
同意はさらに「事前に説明をうけて」いなければなりません。Web上のフォームで「承認」ボタンをデータ主体が押したからといって、それだけで十分な同意とは言えず、常にデータ管理者はデータ主体が「事前に十分な説明をうけた」ということを立証する義務があります。
「不明瞭ではない」ことも必要です。例えばデータ管理者があらかじめ同意のチェックボックスにチェックを入れておくというのは「不明瞭」とみなされる可能性があります。
上記のように「同意」の定義を満たすためにはかなりのハードルがあります。GDPRでは同意を書面で記録せよとまでは言っていませんが、データ管理者はデータ主体が同意をしたということを立証する義務があるので、やはり記録として保持することが事実上求められるのではないかと思われます。
また、オプトアウトもGDPRでは(後でデータ主体が変更をできる場合であっても)「自由に与えられた」「特定された」「不明瞭でない」とはいえない可能性が大です。子どもと情報社会サービスの関係(ネットショップなどを含むオンラインのサービス)にも注意が必要です。16歳未満の子どもの同意の場合、親権者による同意・承認などがなければ、適法な同意とはみなされません。この年齢については、加盟国によってばらつきがあります(例えば英国では13歳)。
こういった点から言っても、適法な根拠として同意だけに頼るのはとてもデータ管理者にとって負担であり、他の適法根拠をあわせて検討する必要があるでしょう。
「契約の履行」について
例えばデータ主体が商品やサービスを購入し、その配送のためにデータ主体の個人データを処理することは「契約の履行」として適法です。ただし規制当局はかなり狭くこの条件をとらえており、データ管理者はあまり拡大解釈することはできないでしょう。
「法的義務の順守」について
データ管理者が負っている法的義務を順守するために必要な場合は適法です。例えば会社が従業員の税金や社会保険料を支払うといった場合などが相当するでしょうか。
「生命に関する利益の保護」について
データ主体やそのほかの自然人の生命を保護する場合には、処理は適法になります。
かなりのレアケースだとは思いますが、例えば何かのサービス提供中にデータ主体が意識不明になって、救急車を呼んで救命措置を行う場合などはそれに該当しそうです。
「公共の利益」について
GDPRでは
(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
とありますが、具体的にどのようなケースが想定されるのかはわかりにくい条文です。
「正当な利益」について
この条件が、適法根拠としては使い勝手がよいかもしれません。まずはGDPR第6条の条文の日本語仮訳を見てみましょう。
(f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
個人情報委員会 一般データ保護規則の条文 より
やろうとしている処理が「正当な利益」に該当するかどうかを判断するには、バランシングテストが必要です。(バランシングテストの方法はいくつか考え方がありますが、例えばLIAというテンプレートが英国の当局であるICOによって公開されています)
公的機関はこの法的根拠を適用することはできませんが、公的機関でない組織(特に民間企業)の場合は、前文(45)には「正当な利益は、例えば、データ主体が管理者のサービスの顧客である場合や管理者からのサービスの提供を受けている場合のような状況において、データ主体と管理者との間に妥当で適切な関係場ある場合には、存在しうる」とありますので、これを法的根拠に適用できる可能性は大いにあると思います。例えばどのようなものが正当な利益になるかというと、前文(45)ではダイレクトマーケティングの例が示されていますし、前文(48)ではグループ企業間で顧客や従業員の個人データを移転することなどが示されています。また前文(49)ではネットワークや情報セキュリティの確保の例もあげられています。