【データ法】「同意」に依拠しづらい場面3選 ーGDPR Art 7ー
こんにちは。
お読みいただきありがとうございます。
本日は、GDPRにおける、同意について書きたいと思います。
教科書的な内容ではありますが、日本の個人情報保護法の実務に慣れていると、足元をすくわれる場面だと個人的には思っています。皆さまの知識の再確認も兼ねて、読んでみてください。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
「同意」とは?
GDPRでは、「同意」について、次のように定義されています(*1)。
データ主体の「同意」とは、自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する。
同意の4要素
上記の定義より、管理者がデータ主体からGDPR上有効な同意を得ていると言えるには、次の事実が認められなければいけないとされています。
同意が:
① 自由に与えられていること(freely given)
② 具体的であること(specific)
③ 事前に説明を受けていること(informed)
④ 不明瞭ではないこと(unambiguous)
ぼくは、GDPRの和訳については、いつも個人情報保護委員会による仮訳を利用させて頂いています。この仮訳、大きな声では言えませんが、細かな誤字が散見されたりして、徹夜続きの官僚の皆さんが疲労困憊の中で作ったんだろうなと思っているのですが、”informed”を「事前に説明を受けた上での」と訳したのは、適格な意訳だと、個人的には思っています。
データ処理の合法性の根拠としての同意
ここで、GDPRにおいて同意の有効性を論じる意義に触れておきます。
端的に言うと、GDPRは、あらゆる個人データの処理について、6つの事由のいずれかに依拠することを求めており、その事由の一つがデータ主体の同意だからです(*2)。つまり、同意の有効性は、そのまま個人データの処理の合法性を左右することになります。
個人データの処理の合法性については、こちらでまとめています。
高い閾値
話は戻ります。上記のように同意に必要な条件を4つも並べられると、面倒そうだなと感じるのではないでしょうか。実際、GDPRにおける同意が認められるためには、高い水準が要求されていると考えられており、各データ保護当局も、同意の要件を厳格にとらえています。
もっとも、これらの4要件は、いずれも個別具体的な事情を踏まえて充足を判断されるものとぼくは理解しており、要件の中身を詳しく論じるのは、実務家にとってあまり有益ではないかもしれません。
むしろ、どのような場面で、有効な同意となりにくいと考えられているのかを把握しておくことの方が、重要だと感じています。
以下では、GDPRのリサイタルや、イギリスのデータ保護当局であるICO(Information Commissioner’s Office)のガイダンスを基に、3つの場面をご紹介します。
1.管理者がデータ主体に対して強い立場にあるとき
前述のとおり、同意は、自由に与えられなければなりません。
データ主体が管理者のサービスに依存していたり、同意を与えないことで不利な結果が予想されるような場面では、個人データの処理を同意に依拠して行うことには慎重になるべきです。
GDPRのリサイタル43項も、管理者とデータ主体の間に明らかな不均衡があるときは、同意に依拠すべきではないと述べています。同項は、公的機関が管理者となるときについて言及しています。
従業員のデータプライバシー
また、ICOのガイダンスでは、公的機関に加えて、雇用関係における同意の取得もこのカテゴリーで論じられています。
例えば、従業員のモニタリングは、各国のデータ保護当局が極めて高い関心を寄せている分野であり、従業員の同意を得ていることを根拠に安易にモニタリングを行うことがないよう留意すべきです。
ICOは、次のように述べています。
ある企業が、従業員に対して、職場でのモニタリングに同意することを求めたとする。しかし、従業員は、生活の原資を会社に依存しており、自分の職を危うくしたくない、厄介な従業員を思われたくない、又は、隠し事があると思われたくない、などの理由で同意せざるを得ないと感じるかもしれない。
個人情報保護というと、どうしても、BtoC企業が対消費者との関係で気を使っている場面がフォーカスされがちですが、対従業員の問題も、同様に重要であり、全ての企業が注意を払わなければいけません。
データプライバシーを所管する部署は、事業部門におかれていることもあり、その場合、対顧客のプライバシーにフォーカスしていることも少なくありません。そのため、大企業であっても、人事部が対従業員のプライバシー周りを所管しており、リソースや知見不足ゆえに、結果として、かなりきわどいことをやってしまった事例も見受けられます。
2.同意が役務提供の条件となっているとき
二つ目の場面ですが、これ、どう思われますか?
ぼくはGDPRを勉強し始めたとき、なぜ同意が役務提供の条件になっているとその有効性が危うくなるのか、ピンと来ていませんでした。
上記1の例のように力関係に不均衡があるなら格別、管理者と対等なデータ主体は、同意して役務提供を受けるも良いし、同意せずに役務提供を受けなくても良いはずです。
なぜ、このような場面での同意の有効性が危ういのでしょうか。ぼくは、同意が役務提供の条件になっている場合を、二つに分けて考えています。
2-1.役務提供に必要のない個人データの処理に関する同意
GDPRは、このように規定しています(*3)。
同意が自由に与えられたか否かを判断する場合、特に、サービスの提供を含め、当該契約の履行に必要のない個人データの処理の同意を契約の履行の条件としているか否かについて、最大限の考慮が払われなければならない。
役務提供に必要のない個人データの処理の同意が役務提供の条件となっていることをバンドル(抱き合わせ)と表現することが多いです。このバンドルの状況にあるときは、同意が自由に与えられていておらず、有効ではないと解されるおそれがあるということです。
ICOのガイダンスでは、カフェのWIFIサービスの事例を挙げています。カフェが、利用客がWIFIを利用する際に、メールアドレス等を入力させて、カフェからのダイレクトマーケティングに同意することを、アクセスの条件とした場合に、そのような同意は有効な同意とは言えないと述べています。
ここまで説明されると、多くの人は、GDPRが言わんとすることについて、共感はせずとも、理解は出来るのではないかと思います。
2-2.役務提供に必要な個人データの処理に関する同意
では、役務提供にあたり、必要となる個人データの処理に関する同意についてはどうでしょうか。
これは、さすがにOKだろうと思うかもしれませんが、そうではありません。ICOは、役務提供の条件として、誰かに処理への同意を求める場合、同意が処理の最も適切な合法的根拠となる可能性は低く、役務提供に必要な処理に係る同意であれば、より適切な合法的根拠は、「契約の履行」のために必要である可能性が高いと述べています(*4)。
契約は双方の意思表示の合致で成立するのだから、同意と契約の履行を分ける実益が無いようにも思えますが(実際、そのように指摘する文献もあります)、GDPRが分けている以上、分けなければいけません。
厄介なのは、GDPRは、管理者に対して、個人データを取得する際に、処理の法的根拠をデータ主体に知らせることを義務付けていることです(*5)。
この定めがあるため、同意の有効性の議論もさることながら、もし契約の履行に依拠すべきときに同意を使うこととして、それをデータ主体に知らせてしまうと、GDPR違反となるおそれがあります。
その意味で、役務提供に必要な個人データの処理については、出来る限り、契約の履行を根拠にするよう留意すべきです。
なお、本件とは厳密には関係ありませんが、目下、FacebookのMeta社が、EU圏で実施している、パーソナライズド広告を表示することに同意するか、月額の利用料を支払うかを選ぶという"consent or pay"モデルについて、当局から問題視されています。詳しくはこちらをご覧ください。
3.同意が得られなくとも個人データの処理が行えるとき
これも、上記2-2と似ていますが、データ主体の同意が得られなくとも個人データを処理することができるときは、同意の有効性が疑問視されてしまいます。
ICOは、このような同意は、誤解を生み、不公正であると述べ、データ主体に誤った選択肢を提示し、彼らが個人データをコントロール出来ていると見せかけるだけと説明しています。
この場面が生じるのは、同意の取得時というよりは、撤回時です。GDPRは、データ主体に対して、いつでも同意を撤回できることを保障しており、管理者は、その撤回後に個人データの処理を継続できなくなります。
このような状況下で、別の根拠に鞍替えして処理を続けることには慎重にならなければいけないと解されています。
まとめ
いかがだったでしょうか。
本日は、GDPRにおける同意について、少し掘り下げてみました。
次のようにまとめます。
管理者は、次のような場合、データ主体の「同意」に依拠して個人データを処理することに慎重にならなければならない
① 管理者がデータ主体に対して強い立場にあるとき(e.g.雇用関係)
② 同意が役務提供の条件となっているとき
③ 同意が得られなくとも個人データの処理が行えるとき
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 個人情報保護委員会の仮訳を利用しています。もっとも"processing"については、ぼくの趣味で、「取扱い」ではなく「処理」と訳しています。
*2 GDPR Art 6(1)(a)。Art 9(2)(a)も参照。
*3 GDPR Art 7(4)
*4 GDPR Art6(1)(b)が定める合法性の根拠ですね。
*5 GDPR Art 13(1)(c)
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。