第8条は大事な内容ですが非常に短いので、さっと終わります。
第8条:情報社会サービスとの関係において子どもの同意に適用される要件
1. 子どもに対する直接的な情報社会サービスの提供との関係において第6条第1項(a)が適用される場合、その子どもが16歳以上であるときは、その子どもの個人データの取扱いは適法である。その子どもが16歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。
加盟国は、その年齢が13歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。
16歳以上の子どもに対する直接的な情報社会サービス(主にオンラインサービス)においては、その子どもの同意を法的根拠としてその子どもの個人データを取扱うことができますが、16歳未満の子どもに対する直接的に情報社会サービスを提供する場合において、その子どもの同意を法的根拠にする場合には、親権者の同意または承認も必要となり、それがなければ違法となります。
ただ、EU加盟国によって、制限を受ける子どもの年齢が異なるため、13歳を下回らない限り、加盟国の法律により年齢基準を変更することが認められております。
EUの加盟国における子どもの同意の年齢制限はこちらの論文によると、以下のようにばらついている状況です。
EU全体でのサービスを考えると、一番低い年齢の13歳に揃えざるをえないかもしれません。
また、同意に関するガイドラインの第133項には以下のような説明があり、年齢確認が暗黙的に求められていることが示されています。
年齢証明のために合理的な努力を行う必要性はGDPRにおいて明示されていないが、それは暗黙的に求められている。子どもが自ら有効な同意を提供するのに十分な年齢でないときに子どもが同意を与えるならば、当該同意はデータの取扱いを適法にはしないためである。
同意に関するガイドライン 第133項(個人情報保護委員会の仮日本語訳)
2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする。
子どもの同意を法的根拠とする場合に必要となる親権者の同意または承認の確認は、「合理的な努力」をすることが求められています。
この「合理的な努力」というのが抽象的に感じますが、同意に関するガイドラインの第132項にはその合理性な努力は、提供されるサービスに伴うリスクに比例的であるべきとされています。
また、同じく同意に関するガイドラインの第137項では以下のような説明がなされています。
137 ユーザーが自ら同意するのに十分な年齢であることの証明という点と、子どもに代わって同意を提供する者が親権者であることを証明する点の両方から、合理的な方法が何かは、取扱いに固有のリスクと利用可能な技術に依拠するだろう。リスクの小さいケースでは、eメールを通じた親権者の証明で十分かもしれない。反対に、リスクの大きなケースでは、管理者が GDPR第 7 条(1)にしたがって情報を確認し保持することができるように、さらに多くの証明を求めるのが適切かもしれない。信頼性のある第三者の証明サービスは、管理者が自ら取扱わなければならない個人データ量を最小化するソリューションを提供するかもしれない。
同意に関するガイドライン 第137項(個人情報保護委員会の仮日本語訳)
3. 第1項は、子どもと関係する契約の有効性、締結又は法律効果に関する規定のような加盟国の一般的な契約法に対して影響を与えない。
この条文は、あくまで子どもの個人データの取扱いを対象にしており、契約そのものには影響しません。
…と言われても、子どもを対象とした契約であれば、通常その子どもの個人データが必要になるので、間接的に契約にも影響すると思います。
こういった場合は、データ主体の同意(第6条第1項(a))ではなく、第6条第1項(b)の「契約の履行」を法的根拠にするのが良いと思います。
以上、第8条でした。
