欧州データ保護会議から出た「ECサイトにおけるユーザーアカウント要求の法的根拠に関する勧告」について

欧州データ保護会議(以降EDPBと略します)から出た「Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites」(タイトルでは「ECサイトにおけるユーザーアカウント要求の法的根拠に関する勧告」と短めのタイトルで翻訳しました)について概要をお知らせしたいと思います。

EDPBは、ECサイトでの「購入のためのユーザーアカウント作成の強制」は正当化できる場面が非常に限定的であり、多くの場合、ゲスト購入(ユーザーアカウントなし)を可能とする設計が、GDPR第25条のデータ保護・バイ・デザインおよびデータ保護・バイ・デフォルトの考え方に高い整合性を有すると示しました。

最初にこの勧告を見た時には少なからず驚きました。欧州委員会でデジタル法制簡素化 規則案2025/0360(Digital Omnibus Regulation Proposal)が公表されたばかりで、各デジタル関連の法整備の合理化が進むのか〜と、期待感を感じて各案に目を通していたところでしたから(153ページもあるのでまだ読破できておりません、、)。

以下、概要をお伝えしていきます。

勧告(Recommendations)の法的な効力は?

勧告(Recommendations)は法令そのものではなく、EDPBがGDPRの一貫した適用を促すために示す解釈指針(ソフトロー)です。一方で、内容はGDPR(特に第6条の適法根拠や第25条のデータ保護バイデザイン及びデータ保護バイデフォルト等)の解釈に直結するため、各監督当局の運用や将来の執行・判断に強い影響を与え得ます。

最初に

これまでGDPRのプライバシー関連の記載事項に関わった事がある方はきっと驚かれる事項があると考えています。理由としては、ユーザーアカウント作成の要求が、GDPR第5条1(c)の「データ最小化の原則」に照らし合わせた上で、個人データ取扱の適法根拠(GDPR第6条の契約履行の為や正当な利益など)となる可能性が低い(絶対にならない、とは書いてありません)と書かれているからです。

勧告が採択された背景について

全くの私見ですが、ランサムウェア被害などによる相次ぐ個人データの流出があるのではないかと感じました。どんなにセキュリティを強化しても、100%守られるわけではないと考えると、GDPR第5条 1 (c) のデータ最小化の原則に沿って個人データを扱うことが、結果として最も費用対効果が高い対応になるのではないかと感じました。

実際に本勧告のExecutive summaryの中では次のように書かれています。

While controllers in the e-commerce sector may have a commercial interest to require users to set up an account, the EDPB notes that such account creation may also expose data subjects to additional risks to their rights and freedoms.

(仮訳)電子商取引分野の管理者は、ユーザーにアカウント作成を求めることで商業的な利益の可能性がある一方で、EDPBはアカウント作成によってデータ主体の権利と自由に対する追加リスクの可能性があると指摘しています。

追加リスクに関しては、勧告のGeneral remarksの中で、ユーザー自身が登録した個人データの他に管理者側で作成される様々なデータがあるだろうと書かれています。実際にユーザー自身が登録する場合でも、契約履行と関連のない性別や誕生日の入力があるかもしれません(多くの利用者は誕生日クーポンがあるかも?と期待してしまうかと)。また、一旦登録してしまうと、注文から配送・決済の期間を超えて個人データを保持し、結果としてリスクにさらされることがあるとも指摘されています。さらに、シングルサインオン(SSO)についても、追加的なリスクが生じ得ると記載されています。

ユーザーアカウント登録要求の法的根拠

GDPR第6条の適法根拠に該当するか、下記のいくつかのケースについて勧告の中から抜粋して説明していきたいと思います。

前もって事例に該当する適法根拠をざっと列挙します。少し乱暴な要約かもしれませんがご容赦ください。

  • 第6条 1 (a) 同意
  • 第6条 1 (b) 契約履行のため
  • 第6条 1 (c) 法的義務遵守のため 
  • 第6条 1 (d) 人命に関する利益保護のため
  • 第6条 1 (e) 公的な権限行使・職務遂行のため
  • 第6条 1 (f) 正当な利益の目的のため

1回限りの販売の場合

商品の属性によっていろいろあると思いますが、消耗品でない限り1回限りの購入というケースも多々あるかと思います。そうしたケースでもユーザー登録を要求するケースが多々あると思います。この場合の適法根拠としては従来GDPR第6条 1 (b) の契約履行の為、という適法根拠が用いられていたケースがあるかもしれません。この点についてEDPBの勧告では、GDPR第6条 1 (b) に依拠すべきでないと書かれています。

サブスクリプション

ユーザーが契約したサービスにアクセスするために厳密に必要な場合に限り、GDPR第6条 1 (b) に基づく事が可能と書かれています。ユーザーアカウント作成が適法であると例示された数少ないケースですが、「厳密に」と書いた部分は「strictly necessary」と表現されていますので本当に必要か十分に注意してください。また、契約期間が過ぎた際には適法根拠がなくなるという点にも注意が必要です。

限定オファーへのアクセス

サブスクリプションと同様に、限定オファーへのアクセスについても条件付きでGDPR第6条 1 (b) に依拠することが可能となります。これはわかりやすい事例で紹介されています。小売業者がロイヤルカスタマー向けに限定販売などのイベント招待されるなどのケースとなります。一方で、ユーザー登録すると全員特典を受けられる場合は該当しませんので注意してください。

条件付き販売

学割であったり、医師免許が必要な医療機器であった場合、身分証明書や資格確認が必要になる販売があります。これらのケースでは一見ユーザー登録が必要そうです。ただ、セキュアなオンライン入力フォームを提供すれば、必要ではなくなるため、こちらもGDPR第6条 1 (b) に依拠すべきでないとされています。

パーソナライズされたショッピング

こちらもGDPR第6条 1 (b) を適法根拠にすることはできません。ただ、同意を取得すれば適法とはなりますが、同意取得前(例えば購入前&ユーザー登録前)にパーソナライズできる適法根拠は無いため注意が必要です。

アフターサービスとユーザーの権利行使

アフターサービスとユーザーの権利行使についてもGDPR第6条 1 (b) に依拠すべきでないと書かれています。電話や電子メールなどにより代替できる事が理由と考えられます。また、事業者側はユーザー登録の有無に関わらず、消費者保護法や契約法に基づく遵守をしなければならないので、この点についても注意が必要です。

法的義務に基づくユーザーアカウントの作成

法的義務で一般企業に関係あるものとしては、税務・会計上のデータになります。これもユーザーアカウントを作る必要があるかと言えば、「必要ない」という事がこの勧告での答え(第6条 1 (c) に該当せず)になるかと思います。

GDPR第6条 1 (f) 正当な利益を適法根拠とする場合について

原文では注文の追跡や、注文後の変更管理、顧客ロイヤルティの構築、先々の注文の円滑化などもGDPR第6条 1 (f) 正当な利益の目的のためが適法根拠になるかはおよそ依拠すべきでないということになりますが(こんないい加減な書き方で申し訳ありません、、)、ここでは不正防止について書いておきたいと思います。実際に私自身これまで運用をする中で当然の権利だと考えておりました。ただ、ユーザーアカウントの登録が必須か?というと、そうではないかもしれないと改めて考え直しました。

ここまでの説明でそれぞれ適法根拠となりうるかについて要約してきましたが、この勧告ではそれぞれ適法根拠とできる可能性もあり、その場合に必要性(“necessity”)のテストと“balancing”(翻訳しにくいのであえて原文で)テストが求められています。ただ、ここでの締めの言葉は、必要性のテストを満たす可能性は低く、GDPR第6条 1 (f) に依拠すべきでないということです。

まとめ

ここでのまとめは次のようになります。

サブスクリプションや限定オファーなどでは適法根拠とする事が可能と考えられますが、「ゲストモードなどユーザーアカウントを作成せずに購入できる選択肢を提供すべき」という事が今回の結論となります。

なお本勧告の中心は“強制アカウント”であり、同意をベースにする場合は“任意”として設計する必要があります。

その上で、適法根拠を同意(第6条 1 (a) )にして対応する方法も考えられますが、ここでも重要な注意点があります。

ユーザー登録しない利用者が不利益を被らないようにコアとなる購入プロセスから明確に分離されるべき(原文:Where such a service is based on the data subject’s consent, the offer should be clearly separated from the core purchase process so that customers who choose not to register are not disadvantaged.)という事です。

冒頭でも申し上げましたが、デジタル法制簡素化 規則案2025/0360(Digital Omnibus Regulation Proposal)は、現在パブリックコメント募集中の提案段階にあります。その上で、同規則案やEUの比例原則を踏まえて考えると、軽微な事項については簡素化が進む一方で、万一の際に重大なインシデントにつながり得るケースについては、むしろ厳格化が進むのではないかとも感じております。

※ 本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。