【データ法】個人データの処理の合法性 ーGDPR Art 6(1)ー
こんにちは。
お読みいただきありがとうございます。
本日は、GDPRにおける、個人データの処理の合法性について書きたいと思います。
これまで、過去何回かにわたり、GDPRのコンプライアンスの前提となる検討事項をみてきました。
・ 「個人データ」について(客体の問題)
・ 「処理」について(行為の問題)
・ 「管理者」と「処理者」について(主体の問題)
・ 実体的適用範囲について(例外的にGDPRの適用がない場合)
・ 地域的適用範囲について(域外事業者へのGDPRの適用)
ここまでの道のりは長かったですが、ようやく、GDPRが適用される個人データの処理には、どのようなルールが課されているのかという話に入ることが出来ます。
今回は、GDPRにおけるもっとも重要な義務の一つである処理の合法性について、見ていきたいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
処理の合法性の基本原則(Art 6(1))
ちょっと逐条解説っぽくって恐縮ですが、まずは、GDPRのArt 6(1)をみて頂くのが分かりやすいです(*1)。Art 6全体は結構長いので、まずは、柱書をみてください。
1. 処理は、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である。
(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの処理に関し、同意を与えた場合
(後略)
このように、GDPRは、個人データの処理を原則として禁止しています。
これは強烈な規定です。
以前にも書いたとおり、「個人データ」、「処理」の定義は非常に広範です。例えば、取引先のAさんから来た「承知しました。」の一言メールを案件フォルダに移すことですら、個人データの処理に該当します。
このような処理の一切が原則として禁止されることの凄さをイメージして頂けたでしょうか。
合法性の根拠
Art. 6(1)は、個人データの処理が合法となる根拠として、(a)~(f)項までの6つの事項を挙げています。順番に見ていこうと思います。
(a) データ主体の同意
まず、処理が合法となるのは次の場合です。
データ主体が、一つ又は複数の特定の目的のための自己の個人データの処理に関し、同意を与えた場合
これは分かりやすいですね。
GDPRは、データ主体の権利を保護するものであり、保護の対象が同意により権利を放棄するのであれば、処理を禁止する理由もないからです。
裏を返せば、騙されて行った同意や不明瞭な同意は、ここでいう「同意」とは言えません。
また、より重要なのは、特定のシチュエーションでは同意を根拠とすることは事実上認められません。最たる例は、被雇用者からの同意です。雇用主と被雇用者との関係は対等ではなく、雇用主から同意を迫られた被用者が真に自由な意思で同意することが考え難いためです。
(b) 契約の履行又は締結上の必要性
データ主体が契約当事者となっている契約の履行のために処理が必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために処理が必要となる場合
これは、契約の一方当事者(データ主体)の個人データの処理が、他方の契約当事者(管理者)の契約上の義務の履行のために必要であるといえる場合には、これを合法性の根拠をすることができるというものです。
また、契約締結前における準備にも適用されます。
(c) 法的義務の遵守
少し(b)と似ていますが、次の場合も処理の合法性の根拠になります。
管理者が服する法的義務を遵守するために処理が必要となる場合
ここでいう法的義務とは、法律の規定に直接由来する義務とかんがえられています。代表的な例は、雇用主による社会保険の手続のための従業員のデータの処理や、金融機関がマネロン規制の定めに従って行う顧客データの処理などが挙げられます。
(d) 自然人の重大な利益の保護
データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合
例えば、自然災害の被災者の食料、住居などに関する支援を行うために、当該被災者の個人データを処理する場合が考えられます。
「生命に関する利益」というのは、自然人にとって、具体的かつ差し迫った危険が存在する状況があることをいうと解されています。
(e) 公益又は管理者の公的権限の行使
公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために処理が必要となる場合
GDPRでは、個人や私企業のみならず、公的機関も管理者(又は処理者)となり得ます。そのため、本号は、公的機関による個人データの処理の一般的な根拠となっています。
(f) 正当な利益(legitimate interest)
6つ目の根拠は、個人データの処理について、管理者又は第三者が追求する正当な利益が認められる場合です。
管理者によって、又は、第三者によって求められる正当な利益の目的のために処理が必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
第1項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。
「正当な利益」の中身ですが、EU法又は加盟国の法(UK GDPRの場合は英国法)によって、目に見える形で認められている利益をいうと解されます。また、公的機関には、正当な利益は認められません。
リサイタル(前文)47項は、正当な利益について二つの例を挙げています。一つ目は不正行為を防止する目的で厳密に必要な個人データの処理で、二つ目は、ダイレクトマーケティング目的の個人データの処理です。また、48項の企業グループ内での特定の個人データの送信、49項の情報セキュリティの確保を目的とした個人データの処理も、正当な利益に関連すると考えられています。
正当な利益の適用テスト
他の5つの合法性根拠とは異なり、正当な利益は、内容が抽象的であり、かつ、条文にも定められているとおり、データ主体の権利保護との衡量に注意を払う必要もあります。
どのような場合に正当な利益があるといえるのか、実は監督機関によって様々な言い方をしているのですが、例えば、英国のデータ保護当局であるICOは、次のような3段階のテストを推奨しています。
1. The purpose test (identify the legitimate interest);
2. The necessity test (consider if the processing is necessary); and
3. The balancing test (consider the individual’s interests).
ダイレクトマーケティングでの留意点
上記のとおり、ダイレクトマーケティングの実施は、正当な利益と言い得ます。迷惑メールに等しいマーケティングメッセージを日々受け取っているぼくたちの素朴な感覚からすると、納得いかないかもしれません。
実は、からくりがあります。
正当な利益に依拠することで、GDPRにおける個人データの処理の合法性を確保したとしても、ePrivacy指令(英国ではPECR)の規制によって、結局ダイレクトマーケティングが実施できないという事態が起こり得ます。
詳しくは、こちらをご覧ください。
よく使われる根拠
ここまで合計6つの合法性根拠を見てきましたが、個人データの処理の合法性が実務上で問題となるのは、(a)同意、又は、(f)正当な利益に依拠したときがほとんどです。
ぼくの感覚ですが、同意か正当な利益以外の合法性根拠に依拠できる個人データの処理は、「それは、まあ必要だよね」と言える場合がほとんどです。他方で、同意と正当な利益に依拠しようとする場合、ぼくたちアドバイザーの視点からすると、データ主体の権利保護に懸念が生じるようなことがしばしばあります。
その意味で、GDPRの相談で処理の合法性が問題になるときは、たいてい同意の有効性と正当な利益の有無の検討が必要になるので、覚えておかれるといいかもしれません。
まとめ
いかがだったでしょうか。
本日は、かなり基礎的な内容となってしまいましたが、次のようにまとめます。
・ 個人データの処理は、原則として禁止されている
・ ただし、次の事由があれば、個人データの処理は合法となる
(a) データ主体の同意
(b) 契約義務の履行
(c) 法的義務の遵守
(d) 自然人の重大な利益の保護
(e) 公益又は公的権限の行使
(f) 正当な利益
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 個人情報保護委員会の仮訳を拝借しています。もっとも"processing"については、ぼくの趣味で、「取扱い」ではなく「処理」と訳しています。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。