GDPRのお勉強(第6条:取扱いの適法性)

GDPR
2022.02.16
この記事は約13分で読めます。

 第6条の「取扱いの適法性」は、第5条第1項(a)の要件を構成する1つである「適法性」に関係する条文となります。
 第6条だけが適法性に関する唯一の条文という訳ではなく、あくまでそのうちの1つとなりますが、個人データを取扱うための「法的要件」を示す、基礎的で非常に重要な条文となります。

 さて、日本の個人情報保護法では、要配慮個人情報の取得時や、目的外利用、第三者提供、外国にある第三者への提供時には、原則的に「本人の同意」を求めています。
 一方、要配慮個人情報でない個人情報の場合は、利用目的の通知・公表により本人の同意なく取得・利用することができます。

 では、GDPRでは、どのような要件を満たせば、個人データの取扱いが適法になるのでしょうか?

 その「適法なデータの取扱い」の法的根拠なる要件が第6条第1項の(a)~(f)なります。
 大事なところなので最初に第6条で覚えておくべき要点を書いてしまいます。

以下のいずれかの「法的根拠」があれば適法なデータの取扱いが可能

(a) データ主体の同意
(b) 契約の履行
(c) 法的義務の遵守
(d) 生命に関する利益の保護
(e) 公的な権限の行使において行われる職務の遂行
(f) 正当な利益

なお、(a)の「同意」が一番効力が弱いので、できれば(b)~(f)の中から法的根拠を探し、どうしても無ければ(a)を選ぶ、といった考え方が基本となります。

 以上は、「第6条第1項」の内容となりますが、第2項以降は見なくても大丈夫です(理由は後述しています)。

 ということで、最初に要点を書いてしまいましたが、気を取り直して第1項を見て聞きましょう。

第6条:取扱いの適法性

1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である:

 以下の(a)~(f)の少なくとも一つが適用される場合、その範囲内において、そのデータの取扱いは適法になります
 それでは(a)~(f)を見ていきましょう。

(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。

 データ主体が、一つ以上の特定された目的のために自身の個人データの取扱いについて、同意を与えた場合となっています。
 いわゆる、「本人同意」です。日本の個人情報保護法での同意と近いものです。

 ただ、GDPRの同意は非常に厳しく定義されており、日本の同意取得の方法では無効となる場合があります。
 そのあたりの詳細は下の別ページでの解説を参考にしていただきたいのですが、とりあえずここでは、個人データの取扱いを適法に実施するための一つの方法として、「データ主体による同意」があることを覚えておいてください。

【GDPR】同意の取得とは? ~同意に関するガイドラインを中心に~(前半)
GDPRにおける同意に関する考え方を示した「同意に関するガイドライン」を中心に、同意について詳しく見ていきます(前半)。治験・臨床試験の実施や医療データの利用における同意に関して、GDPRで特に注意が必要になる部分についても触れています。
jibun-no.work
2022.09.24

(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。

 適法に個人データを取扱うための法的根拠の2つ目は「契約の履行のため」です。
 例えば、自宅にものを運んでもらう契約をする際、事業者に自身の個人データを提供しないと運び先が分かりませんよね。

 お金を借りようとしたときに、氏名も住所も分からない相手にお金を貸してくれる人はいませんよね。
 取り立てる必要が出た場合に、貸した相手の氏名、住所、電話番号といった情報がないと、貸し手としても到底お金を貸すことはできません。

 そのように、物品やサービスの提供を行うための契約をしたのであれば、その契約を履行するために必要な個人データを取得することは必須であるため、その場合の個人データの取扱いは適法です。

 日本の個人情報保護法ではこのような場合でも本人の同意を求めていますが(契約書または関係する書類に個人情報の取扱いに関することが書かれていると思います)、GDPRでは、契約履行のために個人データを取扱わないといけない場合には、本人同意を求めなくてもデータの取扱いができる仕組みになっています。

 ただし、先の例にあった「自宅にものを運んでもらう契約」の事例で、氏名、住所、電話番号の情報を取得することは契約の履行に必要と考えられるので同意取得は不要と考えられますが、その際に一緒に、契約の履行に直接的に関係のない年収や職場、家族構成などの情報を一緒に取得しようとすると、それは契約の履行に必要のない情報なので、別の法的根拠が必要となります。

(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。

 管理者が服さなければならない法的義務を遵守するためであれば、本人同意も必要なく、法的義務がかかる範囲内でデータの取扱いができます。

 日本の個人情報保護法では、同意が必要な場合の「例外規定」として「法令に基づく場合」という規定があります。
 建付けは異なりますが、目的としていることは同じですね。

(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。

 データ主体または他の自然人の生命に関する利益を保護する目的であれば、個人データの取扱いが可能です。
 自然災害時など多くの人の命がかかっているようなときに、個人データの取扱いができないことにより命が失われるようなことがあってはバカらしいです。

 日本の個人情報保護法でも、同意が必要な場合の「例外規定」に「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」という規定があります。
 これも建付けは異なりますが、目的としていることは同じですね。

(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。

 これも日本の個人情報保護法に、目的として近しいものがあります。

  • 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  • 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 建付けの違いはこれまでと同様に異なりますが、目的はよく似ていると思います。

(f)管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。

 「正当な利益(legitimate interests)」の概念はなかなか理解(判断)し辛いのではないかと思いますが、管理者または第三者の正当な利益の目的のために取扱いが必要な場合で、かつ、データ主体の利益や権利を損なわなければ(データ主体が子どもの場合は特に要注意)、本人同意なく適法にデータの取扱いができることになっています。

 正当な利益については、前文47~49項に参考となる記載があるため、以下に引用しておきます。

(47) 個人データの開示を受けうる管理者の正当な利益を含め、管理者又は第三者の正当な利益は、データ主体と管理者との関係に基づくデータ主体の合理的な期待を考慮に入れた上で、データ主体の利益又は基本的な権利及び自由を覆すものとならない場合に、取扱いのための法的根拠を提供しうる。そのような正当な利益は、例えば、データ主体が管理者のサービスの顧客である場合や管理者からサービスの提供を受けている場合のような状況において、データ主体と管理者との間に妥当で適切な関係がある場合には、存在しうる。いずれにせよ、個人データの収集の時点において、及び、その過程において、当該目的のために取扱いが行われることをデータ主体が合理的に期待できるか否かを含め、正当な利益の存在に関しては、注意深い評価を要するであろう。データ主体が合理的にさらなる取扱いを予期しない状況下で個人データが取扱われる場合、特に、データ主体の利益及び基本的な権利は、データ管理者の利益よりも優先しうる。公的機関に関して個人データを取扱うための法的根拠を法律によって定めるのが立法者であることに鑑み、当該法的根拠は、公的機関がその職務の遂行において行う取扱いに適用してはならない。不正行為の防止の目的のために厳密に必要性のある個人データの取扱いもまた、関係するデータ管理者の正当な利益を構成する。ダイレクトマーケティングのための個人データの取扱いは、正当な利益のために行われるものとみなされうる

(48) 企業グループの一員又は統括企業と提携する組織の一員である管理者は、顧客又は従業員の個人データの取扱いを含め、内部的な業務管理の目的のために、その企業グループ内において個人データを移転することについて、正当な利益をもちうる。企業グループ内での第三国に所在する企業に対する個人データの移転についての一般原則は、影響を受けない

(49) ネットワーク及び情報の安全性を確保する目的のために厳密に必要性であり、かつ、比例的な範囲内で行われる個人データの取扱い、例えば、保存される個人データ若しくは送信される個人データの可用性、真正性、完全性及び機密性を阻害し、また、公的機関、コンピュータ緊急対応チーム(CERT)、コンピュータセキュリティインシデント対応チーム(CSIRT)、電子通信ネットワークのプロバイダ及び電子通信サービスのプロバイダ、並びに、セキュリティ技術及びセキュリティサービスの提供者によって、そのネットワーク及びシステムを介して提供され又はアクセス可能なものとされている関連サービスの安全性を阻害する事故、又は、違法な行為若しくは悪意ある行為に対して、所与の機密性のレベルにおいて対抗するためのネットワークシステム又は情報システムの能力を確保することは、関係するデータ管理者の正当な利益を構成する。これには、例えば、電子通信ネットワークへの無権限アクセス及び悪意あるコード配布を防止すること、並びに、「サービス拒否」攻撃やコンピュータ及び電子通信システムの破壊行為を阻止することが含まれうる。

一般データ保護規則(GDPR)の前文 個人情報保護委員会にる仮日本語訳

 以上のことから、通常、企業が主体的に個人データを取扱うとしたら、以下の4つのどれかが、個人データを取扱うための法的根拠になると思います。

(a) データ主体の同意
(b) 契約履行のため
(c) 法的義務の遵守のため
(f) 正当な利益のため

第1項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。

 これは、前文47項にも書いてありましたね。

公的機関に関して個人データを取扱うための法的根拠を法律によって定めるのが立法者であることに鑑み、当該法的根拠は、公的機関がその職務の遂行において行う取扱いに適用してはならない。

 さて、以上が第1項でした。

 そして、実務上は第6条は第1項を理解すれば十分といえると思います。
 というのも、第2項以降は、管理者が立法や行政に関わる組織の場合に関係する条文であり、民間人には関係しない内容だからです。
 私も2項以降は見ることはなく、解釈が正しいのかの自信もありません。

 そのため、サラッと進めたいと思います(読み飛ばし推奨)。

2. 加盟国は、第1項(c)及び(e)を遵守する取扱いに関し、第9章に定めるその他の特別の取扱いの状況に関する場合を含め、適法かつ公正な取扱いを確保するため、取扱いのためのより詳細で細目的な要件及びその他の措置を定めることによって、本規則の規定の適用を調整するためのより細目的な条項を維持し、又は、これを導入できる。

 「第9章に定めるその他の特別の取扱い」とは以下が該当します。

  • 第85条:取扱いと表現の自由及び情報伝達の自由
  • 第86条:公文書の取扱い及び公衆のアクセス
  • 第87条:国民識別番号の取扱い
  • 第88条:雇用の過程における取扱い
  • 第89条:公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いと
  • 関連する保護措置及び特例
  • 第90条:守秘義務
  • 第91条:教会及び宗教団体の既存のデータ保護規則

これらの取扱いを含め、適法かつ公正な取扱いを確保するため、加盟国が独自に詳細なルールを設定することで、第1項の(c)「法的義務の遵守」か(e)「公共の利益または管理者に与えられた公的な権限の行使において行われる職務の遂行」のどちらかの法的根拠を得ることができるようになるので、上手に運用してね、ということだと思います。

3. 第1項(c)及び(e)に定める取扱いのための根拠は、以下によって定められる:

(a) EU法。又は、
(b) 管理者が服する加盟国の国内法。

 第1項の(c)「法的義務の遵守」か(e)「公共の利益または管理者に与えられた公的な権限の行使において行われる職務の遂行」の背景にある「法」とは「EU法」か「加盟国の国内法」のいずれかを意味しています。

 当然、日本の法律は根拠になりません。

取扱いの目的は、その法的根拠に従って決定され、又は、第1項(e)に定める取扱いに関しては、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要なものとする。その法的根拠は、本規則の規定の適用を調整するための特別の条項を含みうる。特に、管理者による取扱いの適法性を規律する一般的な条件、取扱いの対象となるデータの種類、関係するデータ主体、個人データが開示されうる組織及びその目的、目的の限定、記録保存期間、並びに、第9章中に定めるその他の特別の取扱いの状況のための措置のような適法かつ公正な取扱いを確保するための措置を含めた取扱業務及び取扱手続を含めることができる。EU法又は加盟国の国内法は、公共の利益の目的に適合するものであり、かつ、その求める正当な目的と比例的なものとする。

4. 個人データが収集された目的以外の目的のための取扱いが、データ主体の同意に基づくものではなく、又は、第23条第1項に定める対象を保護するために民主主義の社会において必要かつ比例的な手段を構成するEU法若しくは加盟国の国内法に基づくものではない場合、管理者は、別の目的のための取扱いが、その個人データが当初に収集された目的と適合するか否かを確認するため、特に、以下を考慮に入れる。

 第23条第1項という条文が出てきているので、まずこの条文を見てみます。

データの管理者若しくは処理者が服するEU法又は加盟国の国内法は、その制限が基本的な権利及び自由の本質的部分を尊重するものであり、かつ、以下の対象を保護するために民主主義社会において必要かつ比例的な措置である場合、第12条から第22条に定める権利及び義務に対応するそれらの法律の条項範囲内で、立法措置によって、第12条から第22条及び第34条並びに第5条に定める義務及び権利の適用範囲を制限できる:
(a) 国家安全保障。
(b) 防衛。
(c) 公共の安全。
(d) 公共の安全への脅威からの保護及びその防止を含め、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行。
(e) EU又は加盟国の一般的な公共の利益の上記以外の重要な対象、特に、通貨、予算及び税務上の事項を含め、EU又は加盟国の重要な経済的な利益若しくは財政上の利益、公衆衛生及び社会保障。
(f) 司法の独立の保護及び司法手続の保護。
(g) 規制職種における倫理違背行為の防止、捜査、検知及び訴追。
(h) (a)から(e)及び(g)に規定する場合において、一時的なものを含め、公的な権限の行使と関係する監視、監督及び規制の権能。
(i) データ主体の保護、又は、その他の者の権利及び自由の保護。
(j) 民事訴訟の執行確保。

一般データ保護規則(GDPR)の条文 第23条第1項 個人情報保護委員会にる仮日本語訳

 第23条第1項は、(a)~(j)のようなものを保護するために、民主主義社会において必要かつ比例的な措置である場合は、立法措置のうえでGDPRの一部の権利・義務を制限できるといったもののようです。

 それでは、もとの第4項に戻りますが、個人データが収集された目的以外の目的で同意なく個人データを取扱う場合や、第23条第1項のような特殊な場合において本人の同意なく目的外で個人データを取扱うときには、以下を考慮しなければならない、といった趣旨だと思います。
 以下の内容をみると、第5条の基本原則と情報の機微性に重きを置いていることが分かります。

(a)個人データが収集された目的と予定されている追加的取扱いの目的との間の関連性。
(b)特にデータ主体と管理者との間の関係と関連して、その個人データが収集された経緯。
(c)個人データの性質、特に、第9条により、特別な種類の個人データが取扱われるのか否か、又は、第10条により、有罪判決又は犯罪行為と関係する個人データが取扱われるのか否か。
(d) 予定されている追加的取扱いの結果としてデータ主体に発生する可能性のある事態。
(e) 適切な保護措置の存在。これには、暗号化又は仮名化を含むことができる。

 以上、第6条を見てきました。
 同意の取得については、非常に細かいルールがありますので、それは別途説明したいと思います。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました