前回の記事(GDPR 第1回 概要と基本原則)ではGDPRの概要と基本原則についてお話しさせていただきました。

今回のテーマは「適法条件」です。その説明の元となるGDPR第6条の名称は「Lawfulness of processing 」です。どのように個人データの処理を行えば法に適うのか、その条件についてお話しします。なお、本説明の中で使用する用語「適法」と、この条項の中で頻出の用語である「データ主体」(data subject)を先に説明します。

適法とは

このブログの中で「適法」という単語を度々使用しますが、「法に適った」という意味で使用します。原文「lawful」・「lawfulness」を翻訳すると、「合法」・「合法性」とも出てきますが、この説明の中では「適法」・「適法性」(「合法」は別の物差し「善悪」も入る為)という言葉を使用します。

データ主体とは(data subject)

原文では「an identified or identifiable natural person」つまり「識別された、あるいは識別され得る自然人」を「データ主体」(data subject)と言います。これは用語として覚えておいてください。また、前回トピックとして説明した「オンライン識別子」の原文が「an online identifier」ですから、関連性(identify)が認識されやすい原文で読んだ方がわかりやすいかもしれません。そして、「データ主体」に関連するあらゆる情報を「個人データ」(personal data)と定義されているところが、日本の個人情報保護法での「個人情報」との大きな差異ではないかと思います。

取り扱いの適法性について

個人データを取り扱う上で適法である条件

個人データを取り扱う上で適法である条件については、GDPR第6条第1項に6個の項目があり下記の通りとなります。このうち1つ以上の条項に該当する場合のみ適法となります。

1. 同意

データ主体が、個人データを使用する管理者から提示された目的に対して同意した場合には適法となります。同意にはいくつかの条件がありますので、この次の項「同意の条件」で説明いたします。

2. 契約履行のため必須

オンラインショップで買い物をする場合、買い物カゴに何を入れたか保持する必要があるかと思います。利用者の求めに応じたサービスを提供する際に、契約を履行するために必要最小限の情報は必須であり適法であるというものとなります。この考え方は、クッキー同意を実装する際の「必須クッキー」(同意は不要)分類の際にも役立つと思います。

3. 法的義務遵守

法的義務とは、EU法またはEU加盟国法上の義務を指しています。一例ですが、企業が従業員の納税等法的義務の処理を行う場合、適法となる考え方です。

4. 重大な利益保護

前文(46)に記載されている、データ主体もしくは自然人の生命に関わるような状況での取り扱いでは適法とされます。具体的な事例も記載されており、感染症や自然災害における人道上の見地から個人データの取り扱いが必要とされるようなケースが該当します。GDPR前文には、条文を理解しやすくする内容が要所要所で織り込まれているので、参照されることをお勧めいたします。

5. 公的権限行使

文字通り公的な権限の行使です。EU域内における役所などの公的機関での個人データの扱いが該当すると考えられます。

6. 正当な利益

これは企業内で必要に応じて扱う従業員の情報や、WEBサーバーにおける不正アクセス時のログ調査や対策としてのIPアドレスのブロックが該当します。GDPR前文内で「正当な利益」(legitimate interest)と書かれている箇所を検索して参照いただくと事例が記載されています。深掘りしていくと、専門家でないと判断が難しいケースもあるかと思いますので、不明瞭な場合は専門家の方にお尋ねいただくのが良いかと思います。

取り扱い禁止データ

前述の通り、適法条件がある一方で、GDPR第9条「特別な種類の個人データの取り扱い」第1項に記載の下記のデータについては、取り扱いが禁止されています。

  • 人種または民族的出自に関する個人データ(racial or ethnic origin)
  • 政治思想に関する個人データ(political opinions)
  • 宗教的または哲学的信条に関する個人データ(religious or philosophical beliefs)
  • 労働組合員資格に関する個人データ(trade union membership)
  • 遺伝データ(genetic data
  • 自然人の一意な識別を目的とした生体データ(biometric data for the purpose of uniquely identifying a natural person)
  • 健康に関するデータ(data concerning health)
  • 性生活もしくは性的指向に関するデータ(data concerning a natural person's sex life or sexual orientation)

あれ?「健康」に関するデータとして健康診断情報を企業は取り扱っているよね?と、疑問に思われるかもしれません。このことについては第9条第2項(h)に適用除外として記載されています。

なお、原文を読んで、前半の4項目は「個人データ」(personal data)と読めることに対して、後半の4項目は、あえて「データ」(data)と記載しており個人を特定していないデータであっても取扱いは禁止と読めますが、皆さんいかがでしょうか?

同意の条件

適法条件の一つである「同意」について、これまでの日本での常識とは異なる点があります。同意の条件そのものについては主にGDPR第7条に記載されていますが、第4条定義(11)に最も重要なことが書かれています。

同意の定義

強制されず自由に与えられたデータ主体の意思表示で、明確な積極的行為による「同意」ということが細かく書かれています。中でも、注目したい言葉が「a clear affirmative action」です。一般的な表現であれば「a clear positive action」という表現で良いと思うのですが、GDPRは弱者救済の意図を明確に表した「a clear affirmative action」を使用したのだと感じました。英語表現に詳しい方がいらっしゃれば是非ご教示いただければと思います。少し脱線したかもしれませんが、データ主体の自らの積極的意思による「同意」が必要なので、予めチェックボックスやスイッチがオンになっている同意は不適切で、データ主体が能動的に同意をオンにする操作をする必要があります。

同意の証跡

個人データの取り扱いの適法化条件が、データ主体の「同意」である場合、同意していることを証明できるようしなければいけません。

同意要求の明確な区別・簡単に容易にアクセスできる方法・明確で平易な文言で表示

同意の要求の際は、他の事項と区別できるようにして、明確かつ平易な文言で、簡単に見られるようにしなければなりません。文章がわかりにくかったり、読むためには何度も操作しないと辿り着けないような事ではNGとなります。この法令文面は要件が混ざっていて正確に理解しにくいので整理します。

  • 区別:同意要求の明確な区別
  • 方法:簡単に容易にアクセスできる方法
  • 表示:明確で平易な文言で表示

これらに違反する場合、同意は拘束力を持たないものとなります。今後、Cookie同意に関しても記事を書く予定ですが、「目的ごとに区別」・「わかりやすい簡単な方法」・「わかりやすく明確な説明文」に通じるものではないかと考えています。

同意の撤回

同意はいつでも撤回できる権利があります。個人データの取り扱いに関しての適法化を「同意」にした場合、この点に留意しなければなりません。また、この条項は、「同意の定義」における弱者救済と同じ観点での法令だと感じます。仮に弱者の立場で同意させられても、撤回する権利があるということになります。

子どもの同意に関して

16歳未満の子どもの同意の場合、保護者による同意または承認がなければ適法な同意とはみなされません。14歳以上16歳未満の場合は各国法により、規定が異なる場合がありますのでご注意ください。

保護者同意の証明に合理的な努力

子どもからの同意取得の際に使用する保護者の同意を、合理的に確認しなければなりません。参考までとなりますが、米国の児童オンラインプライバシー保護法(COPPA:Children's Online Privacy Protection Act)では、「検証可能な保護者同意」が求められています。具体的には保護者のクレジットカードによる1ドル決済など、厳格な保護者同意となっています。GDPRではガイドラインを参照する限り、取り扱うデータのリスクとの比例性により、厳格さが変わると考えられます。GDPRは高額な制裁金から、やたらめったら厳しい法令に感じられますが、合理性・比例性を持ったものと感じています。

今回のポイント

適法条件

  1. 同意での適法化には条件がある
  2. 契約履行のため必須な個人データであれば適法
  3. 法的義務遵守のための場合は適法。ただし、EU法またはEU加盟国法上の義務となります
  4. 重大な利益保護、データ主体もしくは自然人の生命に関わるような重大な利益を保護する際は適法
  5. 公的権限行使
  6. 正当な利益、企業内で必要に応じて扱う従業員の情報や、WEBサーバーなどのサービスにおける不正アクセス防止の場合など

取り扱い禁止データ

  • 人種または民族的出自に関する個人データ
  • 政治思想に関する個人データ
  • 宗教的または哲学的信条に関する個人データ
  • 労働組合員資格に関する個人データ
  • 遺伝データ
  • 自然人の一意な識別を目的とした生体データ
  • 健康に関するデータ
  • 性生活もしくは性的指向に関するデータ

同意の条件

  • 同意の定義 自由な意思に基づく積極的な同意であること
  • 同意の証跡 同意の証明を可能にする必要がある
  • 同意要求の明確な区別・簡単に容易にアクセスできる方法・明確で平易な文言で表示
  • 同意の撤回 同意はいつでも撤回できる
  • 子どもの同意に関して 16歳未満は保護者同意が必要
  • 保護者同意の証明に合理的な努力 保護者同意にはできるだけ合理的な確認が必要

※本記事記載にあたり、細心の注意を払っておりますが、法的な助言を行うものではございません。

 また、正確性・完全性を保証するものではなく、法令対応のご確認は、お客様ご自身で、弁護士・専門家にご確認いただく必要がございます。