21 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回から、GDPR上の処理の適法性の根拠の一つである「同意」に関しWP29[1](現在のEDPB[2]の前身である監督機関の連合体)が2018年4月10日に採択した"Guidelines on Consent under Regulation"[3] (本Q&Aにおいて「同意ガイドライン」という)の内容を解説していきます。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: GDPR上の「同意」の位置づけは?

Q2: 「同意」の自由意思性とは?

Q3: 会社が従業員から得る同意は自由意思性の観点から問題?

Q4: 同意をサービス提供の条件としたらダメ?

Q5: 同意（を求める処理）が本当に契約履行に必要な場合は?

Q6: 個々の目的ごとに同意が必要?

Q7: 「不利益（detriment）を受けることなく拒否できること」とは?

Q8: 「特定・具体的な」(specific)（目的に対する同意）とは?

Q9: 「必要な情報が提供された上での(informed)」（同意）とは?

Q10: どのように同意を要請したら有効?

Q11: どのように同意を表明してもらったら有効?

Q12: 「明白な(explicit)」同意とは?

Q1: GDPR上の「同意」の位置づけは?

A1: ガイドラインの最初に以下のように述べられています。

データ主体の同意は、次の条件が満たされる場合にのみ、処理の適法性の根拠となり得る。

(i) データ主体が提示された条件に同意するか拒否する（decline）かに関し純粋な選択肢（genuine choice）が与えられること。

(ii) 拒否する場合、不利益（detriment）を受けることなく拒否できること。

但し、当然ながら、同意を得る場合でも、第 5 条の処理の原則その他の規定も適用される。従って、例えば、同意したとしても処理目的に必要でないデータの取得が正当化されるわけではない(5(1)(b))。

ePrivacy指令第2条（f）では同指令上の「同意」は「データ保護指令」上のデータ主体の同意を意味すると規定されている。しかしながら、現時点ではこの「同意」はGDPR上のデータ主体の同意と読み替えられる（GDPR94(2)）[4]。従って、ePrivacy指令上、事業者等が得るべき同意は、GDPRに定める要件(4(11), 7)を具備しなければならない。

Q2: 「同意」の自由意思性とは?

A2: 同意ガイドラインには以下のように解説されています。

データ主体の同意が「自由意思に基づく」(freely given)とは、次のことを意味する。

(i)同意するか否かの自由な選択肢が与えられていること。

(ii) 同意しない場合でも不利益を受けないこと。

(iii) 不利益を受けることなく同意を撤回できること

同意が自由意思に基づいてされたものであるかどうかの判断においては、必ずしもその同意がなくても契約の履行（例：サービスの提供）が可能であるのに、同意を契約履行の条件としていないか否かが最も重視される(7(4))。これを条件としている場合は通常自由意思によるものとはみなされない（前文(42))。

【具体例】 写真編集アプリのユーザにアプリ利用の条件として、次の事項について同意要請。

(i) GPS位置測定を有効化すること。

(ii) その測定データを行動ターゲッティング広告 (behavioral advertising)目的で利用すること。

上記はいずれもアプリ利用に必要なわけではない。それにもかかわらずこれに同意しなければアプリを利用することができない。この場合、同意するか否かの自由な選択肢がないから自由意思に基づく同意とはいえない。

Q3: 会社が従業員から得る同意は自由意思性の観点から問題?

A3: 同意ガイドラインには以下のように解説されています。

【立場の不均衡と自由意思性】　公的機関・団体（public authority)（例：市町村）と個人(前文43）、雇用主と従業員等の間では立場の不均衡(imbalance of power)がある。よって、例えば、職場でのカメラによる監視（モニタリング）について、従業員が雇用主の同意要請に対し、同意を拒絶した場合の不利益や圧力を感じずに同意を拒絶できる場合は通常考えられない（unlikely）。従って、このような場合は同意を適法性の根拠とすることはできない。

Q4: 同意をサービス提供の条件としたらダメ?

A4: 同意ガイドラインには以下のように解説されています。

GDPR(7(4))は、同意が自由意思に基づいてなされたか否かの判断に当たっては、契約の履行（例：サービス提供）が、契約履行に必ずしも必要でない個人データ処理に対する同意を条件としていないか(bundling or tying)を最も重視しなければならないと定める。このような条件がないことの立証責任は管理者にある(7(1))。

【同意をサービス提供の条件とする例】　

(a) Q2の写真編集アプリの例　⇒　自由意思性なし。

(b) 銀行が、その顧客（データ主体）の支払明細を第三者にダイレクトマーケティング目的で利用させることに対し、顧客に同意を求める場合（銀行口座のサービス提供には不要）。同意拒否により銀行が顧客に提供するサービスの手数料引上げ等につながる場合、自由意思性は否定される。

Q5: 同意（を求める処理）が本当に契約履行に必要な場合は?

A5: 同意ガイドラインには以下のように解説されています。

この場合は、同意をサービス提供の条件とする場合に当たらない。但し、以下の例のように個人データの処理目的と契約履行との間に直接的かつ客観的な関連性がある場合に限る。

【具定例】商品配送のための購入者住所データの処理／代金決済のためのクレジットカードデータの処理／給与支払のための給与データと銀行口座データの処理

また、同意を条件とするサービスの他、同意を要しないサービスを用意した場合、両サービスが、真に同等(genuinely equivalent)でなければ、同意が自由意思に基づくと言うことはできない。

Q6: 個々の目的ごとに同意が必要?

A6: 同意ガイドラインには以下のように解説されています。

【処理目的の個別化と目的ごとの同意取得 (granularity：細分化)】同意は、処理ごとに別々に同意がなされることが適切なのにそうされていない場合、自由意思に基づくものではないと推定(presumed)される（前文(43)）。また、処理が複数の目的のために行われる場合、同意はその全てに必要とされる（前文32）。

従って、データ主体は、目的ごとに同意または不同意を選択できなければならず、一括同意(consent to a bundle of processing purposes)の要請は認められない。よって、各処理目的を一つにまとめ(conflate)てはならず、区分(granularity)してデータ主体に同意を求めなければならない。

また、同意するか拒否するかを判断するための情報を目的ごとに提供しなければならない。但し、目的が同一である限り、複数の異なる処理に対し一括して同意を要請することは許される。

【具体例】小売業者は、顧客に対し、①電子メールで広告配信する目的と、②グループ企業内で共有する目的[のような性質異なる]目的のため個人データを処理することについて一括して同意を要請してはならない。

[【「目的ごとの」または「目的の細分化」に対応するGDPR条文上の言葉】同意ガイドラインでは、上記のような解釈をGDPR第4条第11項のどの言葉から導き出すことができるかは明らかにされていません。同意ガイドラインでは、"This granularity is closely related to the need of consent to be specific"と書かれています(3.1.3)。同項の"consent"の定義中の"specific"には、後述(Q8)の通り「特定・具体的な」の意味があることは明らかですが、、同時に「目的ごとの」という意味があると解して良いと思われます。従って、本Q&Aでは、場合により、この"specific"を「目的ごとの」とも訳しています。]

Q7: 「不利益（detriment）を受けることなく拒否できる」とは?

A7: 同意ガイドラインには以下のように解説されています。

データ主体が不利益(detriment)を受けることなく同意を拒否または撤回できない場合、同意は自由意思に基づくものということはできない（前文42）。管理者は、同意の拒否または撤回が、データ主体に不利益をもたらさず、真に自由な選択をすることができることを証明(demonstrate)できなければならない。

【不利益(detriment)の例】　データ主体の負担するコストの増加／欺瞞・脅迫・強要／重大な否定的結果／サービスのダウングレード／アプリの動作・機能制限

【不利益に該当しない例】　ユーザから、その購買傾向に関する追加データの取得に同意を得、交換に特別割引を提供（但し、その同意が撤回された場合には一般割引に戻すこと）。

Q8: 「特定・具体的な」(specific)（目的に対する同意）の趣旨は?

A8: 同意ガイドラインには以下のように解説されています。

(a) 個人データ取得後の段階的目的拡張・不明確化(function creep)の防止策として目的の具体性(purpose specification)

(b) 目的ごとの同意要請（granularity in consent requests）は、同意の自由意思性だけでなくこの"specific"の要件のためにも必要。

Q9: 「必要な情報が提供された上での(informed)」（同意）とは?

A9: 同意ガイドラインには以下のように解説されています。

データ主体に事前に同意するか拒否するかを判断するために必要な情報が提供されていない場合、同意は無効である。処理の適法性の根拠(6)とすることもできない。[提供すべき情報は主にGDPR第13条・14条（個人データ取得の際に提供すべき情報）に規定されていますが、その内容については後の回で解説します]

Q10: どのように同意を要請したら有効?

A10: 同意ガイドラインには以下のように解説されています。

（GDPR規定：(7)(2)) 管理者は、データ主体の同意を、他の事項も記載されている書面で要請する場合、①他の事項とは明確に区別し(distinguishable from other matter）、②分かり易く(intelligible)かつ情報を見つけ易い(easily accessible)形で、③明確かつ平易な言葉(clear and plain language)を用いて、要請しなければならない

①同意は、他の事項とは明確に区別(distinguishable from other matter）して要請しなければならない。

(例1) 個人データ処理に対する同意が契約書中で求められている場合、この同意の要請は、(i) 契約書中の他の事項と明確に区別して表示するか、または、(ii) 契約書とは別の文書で同意を求めなければならない。

(例2) 電子的手段で同意を求める場合も、単に利用規約に含めるのではなく、利用規約の他の事項と明確に区別して、個人データ処理に対する同意の要請を表示しなければならない。

②同意は、「分かり易く」(intelligible)、「明確かつ平易な言葉」(clear and plain language)を用いて要請しなければならない。

平均的な人にとってメッセージが容易に理解できることを意味する。データ主体が未成年者の場合、未成年者が容易に理解できなければならない。ユーザを無作為に抽出して検証することも有益である。(不適切な例) 法律用語だらけで長すぎるプライバシーポリシー。

③同意は「情報を見つけ易い(easily accessible)」形で要請しなければならない。従って、例えば、[スマートフォン等で]情報を表示するスペース・画面等が小さい場合、階層化による情報表示（layered way of presenting）またはレイヤーによるプライバシー通知(layered privacy notice)を検討しなければならない。

Q11: どのように同意を表明してもらったら有効?

A11: 同意ガイドラインには以下のように解説されています。

(GDPRの規定：4(11)) データ主体の「同意(consent)」とは、データ主体による、言葉(statement)によるまたは明確な積極的行為(clear affirmative action)による（自由意思に基づく）特定・具体的（かつ必要な情報を提供された上での）曖昧さのない（unambiguous）個人データ処理に対する同意の意思表示を意味する。

同意は、書面での表明(written statement)（電子的手段を含む）または口頭での表明(oral statement)等により[5]、個人データの処理に対するデータ主体の自由意思に基づく、特定・具体的かつ目的ごとの(specific）判断に必要な情報を与えられた上での（informed）曖昧さのない(unambiguous)同意を示す、明確な積極的行為(a clear affirmative act)によって与えられなければならない（前文32）。

【「言葉」(statement)／「書面」／「口頭」（での意思表明）】　(例) データ主体が手書きまたはタイプした文章による意思表明が該当する。口頭による同意も否定されないが、その取得の証明には同意を録音等して記録する必要があり、また、口頭同意の前に必要な情報を提供する必要がある。

【「電子的手段」（による同意）】　（例）データ主体が管理者に電子メールを送付する／（スマートフォン画面上に表示された同意要請に応えて）スマートフォン画面をスワイプする／スマートカメラの前で手を振る／スマートフォンを時計回りに（または「８」の字を書くように）回す。

一方、Webサイト上で単に「スクロールを継続した場合同意したものとみなします」と表示しても、それに気付かないことや見逃される(missed)ことが多いから、明確な積極的行為(clear affirmative action)による（曖昧さのない(unambiguous)）個人データ処理に対する同意の意思表示とは言えない可能性が高い。[黙示の同意(implied consent/opt-out consent)の否定]

【「明確な積極的行為」（による同意）】　データ主体が同意のため意図的な行為（deliberate action）をすることを意味する。

(a) 適切な例：前記のスワイプ等／サイト上のチェックボックスにチェックを入れる／サイト上でプライバシー設定をする。

(b) 不適切な例:

(i) 黙示の同意(silence)または積極的異議がないこと(inactivity)　

(ii) 同意のチェックボックスに予めチェックが入っている場合(pre-ticked boxes)

(iii) 同意を拒否するためデータ主体が特別の行為をする必要がある場合(opt-out constructions)

(iv) スマートフォン等の画面上で「（同意要請メッセージが表示された画面を）スクロール（またはスワイプ）し続けた場合同意したことになります」旨の警告が表示されているが、データ主体がスクロール等をするとその警告を見ることができなくなる場合

Q12: 「明白な(explicit)」同意とは?

A12: 同意ガイドラインには以下のように解説されています。

(1) 「明白な(explicit)」同意の取得を要する場合: 以下のいずれかの処理を行うには、通常の処理(6(1)(a))について要求される「曖昧さのない(unambiguous)」同意ではなく「明白な(explicit)」同意を要する。

(a)特別カテゴリーの個人データの処理(9)

(b)自動意思決定（automated individual decision-making）（プロファイリングを含む）のための処理(22)

(c)保護の十分性の認定がされていない第三国または国際機関へのデータ移転(49)

これは、管理者側からすれば、「曖昧さのない(unambiguous)」同意よりも更に努力をしてデータ主体の同意を取得すべきことを意味する。

(2) 「明白な(explicit)」同意の方法:

【適切な例】

- 同意書への署名

- 電子フォームへのインプット

- 同意の旨の電子メール送信

- 同意書に署名しスキャンの上アップロード

- 電子署名(electronic signature)

-二段階の同意確認(two stage verification)

(第1段階)管理者からの電子メールでの同意要請に対し「同意する」旨返信

(第2段階）その後管理者からメール送信された同意再確認用リンクをクリック

【口頭での同意】 理論的には可能であるが、有効な明示的同意の条件が全て満たされたことを証明することは通常困難。

[ 【通常の同意の「曖昧さのない(unambiguous)」と、上記(a)(c)の場合に要求される「明白な(explicit)」の差】　必ずしも明らかではありません。前者の"unambiguous"という言葉についても一般的な訳として「明白な」という訳があります。"unambiguous"な同意も、言葉または明確な積極的行動によるものでなければならないので、黙示の同意(implied consent)が否定される趣旨であることは明らかです。

しかし、"explicit"な同意については、上記の通り、同意書・電子署名・同意フォームへの署名・インプットや同意の二段階検証の例が挙げられており、同意があったことについてほとんど疑問や解釈の余地がない程度にデータ主体の意思の明確性が求められています。

これに対し、"unambiguous"な同意では、例えば、ビジネス上の名刺交換では、その名刺データを後日ビジネス上の連絡・自社商品・サービスの紹介等の目的で用いることに一々同意を求めることは通常ありませんが、名刺データをそのような目的に限定して利用する場合は、イントラネットにアップロードし社内や関係会社間で広く共有する等の行為をしない限り、名刺交換自体で "unambiguous"でかつ積極的行為による同意があったと解釈してもよいということではないかと思われます。]

今回はここまでです。次回も、今回に引き続き「同意ガイドライン」の内容を解説していきます。

【著者の最近の個人情報保護関連書籍】

NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[6]

【注】

[1] 【「WP29」】　A Working Party on the Protection of Individuals with regard to the Processing of Personal Data　- データ保護指令第29条に基づき、各EU加盟国の個人データ保護機関(DPA)、欧州データ保護監督官(European Data Protection Supervisor)(EDPS)および欧州委員会の各代表者で構成されていた独立機関である。EDPB発足までGDPRについても意見書を作成・公表していた。

[2] 【「EDPB」】　European Data Protection Board (欧州データ保護会議)。GDPR第68条に基づくWP29の後継組織である。加盟国間におけるGDPRの一貫性のある適用・運用を任務としする(70) 。その任務にはGDPRに関する意見書・ガイドラインの作成も含まれる。EDPBの意見書等の掲載サイト

[3] 【同意ガイドライン】　PPC(日本の個人情報保護委員会)による和訳(英文併記)

[4] 【ePrivacy指令上の「同意」】　GDPRはその正式名称の通りデータ保護指令（Directive 95/46）を廃止する規則である(94(1))。GDPR第94条第2項には、[EUまたは加盟国の法令における]「廃止される指令（すなわちデータ保護指令）への言及はGDPRへの言及と解釈されなければならない」と規定している。

[5] 【原則として書面での同意取得を義務付ける例】　ドイツ連邦データ保護法では、従業員の個人データが同意に基づいて処理される場合、その同意は、特別な事情により他の形式が適切でない限り、書面で与えらなければならない(26(2)。　Federal Data Protection Act (BDSG)（英訳はこちら）

[6]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録