【GDPR】同意の取得とは? ~同意に関するガイドラインを中心に~(前半)

GDPR
2022.09.24
この記事は約31分で読めます。

 GDPRは法律なので、細かい考え方や運用方法については悩むところが多いです。

 それらを補完する形で、EDPB(European Data Protection Board)という組織が、GDPRの条文や用語の考え方について、ガイドラインやレコメンデーション、ベストプラクティスといった形で説明しています。

Guidelines, Recommendations, Best Practices | European Data Protection Board
edpb.europa.eu

 今回はEDPBが公開しているガイドラインの中から、「Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.1」を見ていきます。

 なお、このガイドラインの日本語訳は、個人情報保護委員会から「同意に関するガイドライン(バージョン1.1)」として公開されているため、ここでは個人情報保護委員会の仮日本語訳をベースに読んでいきたいと思います。

個人情報保護委員会 同意に関するガイドライン

まず目次から見ていきます。

 同意に関するガイドラインを読むときは、目次の構成が頭の整理に役に立ちます。
 用語の関係性を見失ったときは、目次に戻ると理解が進むかもしれません。

0 序文
1 はじめに
2 GDPR 第4条(11)における同意
3 有効な同意の要素
 3.1 自由 / 自由に与えられた
  3.1.1 力の不均衡
  3.1.2 条件性
  3.1.3 粒度
  3.1.4 不利益
 3.2 特定の
 3.3 説明を受けた
  3.3.1 同意が「説明を受けた」うえでのものとなる最小限の内容の要件
  3.3.2 情報を提供する在り方
 3.4 不明瞭でない意思表示
4 明示的な同意の取得
5 有効な同意を得るための追加的条件
 5.1 同意の証明
 5.2 同意の撤回
6 同意とGDPR 第6条における他の法的根拠との関係
7 GDPR における特定の問題領域
 7.1 子ども(第8条)
  7.1.1 情報社会サービス
  7.1.2 子どもに対する直接の提供
  7.1.3 年齢
  7.1.4 子どもの同意と親の責任
 7.2 科学的研究
 7.3 データ主体の権利
8 指令 95/46/EC において取得された同意

 以下、重要と思われる項目を順に見ていきます。
 各項目の全文を引用している訳ではなく、そのうちの一部を抽出しているものもあることにご留意ください。

 なお、「0 序文」は特に説明することがないので、「1 はじめに」から見ていきます。
 また、タイトルに(前半)としている通り、今回は全体のボリュームが多いため、ここでは目次の「3 有効な同意の要素」までを対象としました。
 後日、後半として「4 明示的な同意の取得」以降について触れる別ページを公開することを予定しています。

1 はじめに

第1項

このガイドラインは、規則 2016/679、すなわち、一般データ保護規則(General Data Protection Regulation)(以下、GDPR とする)における同意の概念について詳細な分析を提供する。

 このガイドラインの趣旨を端的に示したものですね。

第2項

同意は、GDPR第6条に列挙されるように、依然として個人データを取扱うための6つの法的根拠の一つである。個人データの取扱いに関わる活動を開始する場合、管理者は常に、想定される取扱いにとって適切な法的根拠が何かを考えるために時間を割かなければならない。

 第6条(取扱いの適法性)で説明した通り、データ主体の同意は、個人データを取り扱うために必要となる法的根拠の1つですが、本当に同意を法的根拠にした方が良いか(他に適切な法的根拠がないか)どうかについては十分に検討されるべきです。

 これは後ろの方でも説明することになりますが、6つの法的根拠のうち「同意」が最も「弱い」法的根拠であることから、できれば「同意」以外の法的根拠にできた方が望ましいということがあります。

第3項

一般的に、同意は、データ主体が自分の同意を制御でき、提示された条件を承諾するか拒否するかの純粋な選択肢が示され、又は不利益を被らずに拒否できる場合にのみ、適切な法的根拠となりうる。同意を求める際、管理者は、有効な同意を得るための要件の全てを満たしているかどうかを評価する義務を持つ。

 同意というのは、単に同意書にサインをして貰ったり、チェックボックスにチェックを入れ「Accept」が押されれば成立するものではなく、その前提には色々は条件があり、その条件が満たされていない状態で同意書にサインをして貰ったり、「Accept」を押下してもらっても有効な同意にはならないことを示しています。

第5項

同意を得ることは、GDPR に定める取扱いの原則、特に、公正性、必要性、比例性とデータの質に関する GDPR第5条を遵守するための管理者の義務を、無効とし又は弱めるものではない。個人データの取扱いがデータ主体の同意に基づいているとしても、この同意は、取扱いのために特定された目的に必要でないデータの収集を正当化せず、これは根本的に不公正である。

2 GDPR 第4条(11)における同意

第8項

GDPR第4条(11)は以下のように同意を定義している。「自由に与えられ、特定され、説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの」

 これは第4条(定義)のデータ主体の「同意」を再掲しています。

 今後、この定義を掘り下げていくのですが、英語の原文を引用することが増えてくると思いますので、第4条のデータ主体の同意の定義の英文も引用しておきます。

‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

 上記の赤字で示した「free given」、「specific」、「informed」、「unambiguous」の考え方が、それぞれ、3.1章、3.2章、3.3章、3.4章で解説されています。

第9項

第4条(11)における修正された定義のほかに、GDPRは、管理者が同意要件の主要な要素にしたがってどのように行動しなければならないかに関して第7条及び前文第32項、第33項、第42項、第43項において追加的なガイダンスを提供している。

 第7条(同意の要件)にて、第7条と前文第33項、第42項、第43項について説明しておりますので、ここでは残りの全文第32項を引用しておきます。

同意は、電子的な手段による場合を含む書面による記述又は口述などにより、自己と関連する個人データの取扱いに対するデータ主体の合意の、自由に与えられ、特定され、事前に説明を受け、不明瞭ではない表示を構成する、明らかに肯定的な行為によって与えられるものとしなければならない。この同意は、インターネットWebサイトを訪問する際にボックスをチェックすること、情報社会サービスのための技術的な設定を選択すること、又は、この文脈において、自己の個人データについて提案された取扱いについてのデータ主体の承諾を明確に示す上記以外の陳述又は行為を含みうる。それゆえ、沈黙、予めチェック済みのボックス又は不作為は、同意を構成するものとしてはならない。同意は、同じ目的のために行われる全ての取扱活動を包摂しなければならない。取扱いが複数の目的をもつ場合、同意は、それらの全ての目的に対して与えられなければならない。データ主体の同意が電子的な手段による要求の後に与えられる場合、その要求は、明確であり、理解しやすく、かつ、提供されるサービスの利用を不必要に損なわないものでなければならない。

一般データ保護規則(GDPR)の前文 第32項(個人情報保護委員会の仮日本語訳)

 以降の説明と被るところが多いので、ここでは軽く目を通すぐらいで十分です。

3 有効な同意の要素

第11項

GDPR第4条(11)はデータ主体の同意が以下の意味を有すると定めている。
・自由に与えられる
・特定されている
・説明を受けている、かつ
・不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体がその陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの

 前述したデータ主体の同意に関する原文での定義で赤字で示した部分が抽出されています。

 予告したとおり、この4つのファクターについて、これから深堀されていきます。

3.1 自由 / 自由に与えられた

第13項

「自由」の要素は、データ主体に真の選択と支配権限があることを意味している。一般的なルールとして、GDPRは、データ主体が真の選択をせず、同意を強制されたと感じる、又は、同意しなければネガティブな結果に直面すると感じるならば、同意は有効ではないと規定している。同意が契約条件の交渉できない部分としてまとめられている場合、それは自由に与えられたものとはみなされない。したがって、同意は、データ主体が不利益を被らずに同意を拒否し又は撤回できない場合には、自由であるとはみなされない。管理者とデータ主体の間の不均衡の概念も、GDPRによって考慮されている。

 「同意を強制された」、「同意をしなければ不利益が起こるかもしれない」とデータ主体が感じるようであれば、そのような環境で得られた同意は「自由に与えられた」同意ではないと考えられ、有効な同意とはなりません。

 契約の条件として同意することが必須となっているようなものも、自由に与えられたと考えられないとなっていますが、これは契約に必須な個人データの取扱いであれば同意によらず第6条第1項(b)を法的根拠にすることができますが、物品やサービスの提供に必須でない個人データの取扱いについては同意で認めることを前提としており、その同意がなければ契約できない(サービス提供が受けられない)、といった状況を意図しているものと思われます。

 このような状況に該当する例として、事例1が説明されています。

事例1:ある画像編集のモバイル・アプリが、そのサービス利用のためにユーザーに対してGPSの位置情報を有効化するように求めている。そのアプリは行動ターゲティング広告のために、収集されたデータを利用するとユーザーに伝えてもいる。位置情報もオンラインの行動ターゲティング広告も、画像編集サービスの提供に必要ではなく、提供される中心的なサービスの配信の範囲を超えている。ユーザーはこうした目的に対して同意しなければアプリを使用できないために、その同意は自由に与えられるとみなすことができない。

 また、同意の拒否や撤回が不利益に繋がるような状況での同意は「自由に与えられた」とはみなされず、また管理者とデータ主体の(力や情報の)不均衡も考慮されなければなりません。

 このあと、「自由に与えられた」(Free/Free given)の条件になっている4つの要素についての解説となります。

3.1.1 力の不均衡(Imbalance of power)

 第16項

前文第 43項は、管理者が「公的機関」である場合には常に、管理者とデータ主体の関係に明確な力の不均衡がしばしばあるため、公的機関は、取扱いについて、同意に依拠できそうにないことを明確に指摘している。またほとんどの場合、明らかに、データ主体は、こうした管理者の取扱い(条件)を承諾することに代わる現実的な代案を持たない。EDPBは、他の法的根拠があり、それらの根拠が、基本的に、公的機関の活動により適切であると考えている。

 ここでGDPR前文第43項を引用します。

(43) 同意が自由に与えられることを確保するために、データ主体と管理者との間に明確な不均衡が存在する特別な場合、特に、管理者が公的機関である場合で、それゆえに、当該状況の全体からみて、同意が自由に与えられる可能性が低いようなときには、その同意は、個人データを取扱うための有効な法的根拠を提供するものとはならない。個々の場合に個別に同意することが適切であるにもかかわらず、異なる個人データ取扱業務毎に分けて同意を与えることが認められない場合、又は、サービス契約の履行のためにそのような同意を必要としないのにもかかわらず、サービスの提供の場合を含め契約の履行が同意を必要としている場合、そのような同意は、自由に与えられたものではないと推定される。

一般データ保護規則(GDPR)の前文 第43項(個人情報保護委員会の仮日本語訳)

 通常、国や自治体がデータ主体に個人データの取扱いについて同意を求める場合、その理由の背景に住民サービスへの提供等が関わっていることが想定されるため、心理的に考えても国民・市民であるデータ主体はその同意を拒めないことが多いです。

 一般的に行政の仕事を考えると、国や自治体が住民に個人データの取扱いを求める必要がある場合は、その取扱いをしなければならない理由があるはずで、その理由が認められていれば必要な範囲で住民の個人データの取扱うことを認める法律や条令といった法令が存在するはずです。そのような法令が存在すれば同意を法的根拠にする必要はありません。

 逆に言えば、国・自治体が住民に対してデータ主体の同意をベースに住民の個人データの取り扱いをする状況は、法令に則った取扱いではないと言えるので、住民は「何をされるのだろう?」「その取扱いは本当に必要なんだろうか?」と警戒する一方で、国や自治体から求められたら、拒否することによるデメリットがあるのではないかという心理から、「嫌々」または「仕方がない」といった感覚を持ちながら同意をする住民も多く出てくることが予想されます

 しかしながら、例えば上記の例のような「力の不均衡」が存在する場合では、そのような状況で取得した同意は「自由に与えられた同意」とは言えないため、GDPRでは有効な同意とはならないと考えられています。

第17項

こうした一般的な考察に反することがなければ、公的機関によるデータの取扱いの法的根拠として同意を利用することは、GDPR の法的枠組において、全面的に排除されているわけではない

 ただ、第17項にあるあるように、公的機関はデータを取扱う法的根拠として「同意」を必ずしも使用できない訳ではなく、一定の要件が満たされれば、公的機関による同意も適法になるとのことです。

 このような、「力の不均衡」は公的機関と住民の関係だけに見られるものではありません。
 典型例は、雇用者と従業員の関係における「力の不均衡です」

第21項

力の不均衡は、雇用の文脈でも生じる。労使関係から生じる従属関係を前提にすれば、データ主体は、同意拒否の結果として不利益を受ける怖れ又はその現実的リスクを経験せずに、雇用者に対しデータの取扱いについての同意を拒否できる可能性は低い。たとえば、職場での監視カメラのようなモニタリング・システム導入について、雇用者からの同意要請に、従業員が自由に対応しまた何らかの同意圧力を感ぜずに、回答用紙のマス目を埋める可能性は低い。したがって、第29条作業部会は、自由に同意できる可能性が少ないことから、同意を根拠として現在又は将来の従業員の個人データを雇用者が取扱うことには問題があると考える。職場でのそうしたデータの取扱いの大多数について、従業員と雇用者の関係の性質から、従業員の同意を法的根拠とすることはできないし、またそうすべきではない(第6条(1a))。

 コロナ禍でリモートワークが進む一方で、自宅で本当に仕事をしているかを確認するためにパソコンのカメラで従業員を監視するような取組みがニュースで取沙汰されたりしています。

 そもそも「パソコンの前に座っている姿を確認する」だけで従業員を管理できるという思考がどうかとは思いますが、プライバシーの観点では大きな問題をはらんでいます。

 自分の雇用者がこのような取組みをすると言い出し、カメラ越しに監視することに同意を求められたとしたら、どう思うでしょうか?

 「嫌だ」「気持ち悪い」と思う人が多いと思いますが、その一方で、「拒否したらどうなるんだろう」「上司に怒られるのかな」「査定に響くのかな」といった不安が頭をよぎるのではないかと思います。

 このように「不安が頭によぎる」時点で「力の不均衡」があり、「自由に与えられた同意」とはみなすことができないため、有効な同意にはなりません。

 そのように雇用者と従業員の間にも「力の不均衡」が存在する為、「自由に与えられた同意」は難しく、同意を法的根拠とすることは原則できませんし、すべきではないと考えられています

 ただ、第22項にあるように、雇用者と従業員の間で同意を法的根拠にすることが絶対にできないかというと、条件次第ではそうではなく、可能なこともありえます。

第22項

しかしこれは雇用者が取扱いの法的根拠として同意に依拠することが絶対できないということを意味しているわけではない。同意が実質上自由に与えられていることを示すことができる状況があるかもしれない。雇用者と従業員の間の力の不均衡があるとしても、同意を与えるかどうかにかかわらず、悪影響を全くもたらさない例外的な状況であれば、その状況に限って、従業員は自由に同意を与えることができる

 さらに、第24項では

第24項

力の不均衡は、公的機関及び雇用者の例に限らず、他の状況でも起こりうる。

 とありますが、これには「医師と患者の関係」も含まれ、治験や臨床試験の同意も「力の不均衡」が存在すると考えられています。

 ここでは、治験や臨床研究の同意における「力の不均衡」について深堀りはしませんが、医学研究・科学研究についてのガイドラインの説明時に深堀していきたいと思います。

3.1.2 条件性(Conditionality)

第25項

同意が自由に与えられるかどうかを評価するために、GDPR 第 7 条(4)は重要な役割を果
たす 。

 と、ありますので、GDPR第7条第4項を見ておきましょう。

GDPRのお勉強(第7条:同意の要件)
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。今回は第7条の「同意の要件」です。個人データを適法に取扱うための法的根拠の一つであるデータ主体の「同意」について、その要件を説明しています。
jibun-no.work
2022.02.17

 第26項

GDPR第7条(4)は、とりわけ、契約条件の承諾と同意を「抱き合わせる」状況、又は、契約の履行又はサービスの提供に必要とされない個人データを取扱うための同意と契約又はサービスの提供とを「結びつけること」が極めて望ましくないと考えられることを示している。もしこうした状況で同意が与えられる場合、それは自由に与えられたとはみなされない(前文第43項)。
第7条(4)は、個人データの取扱いの目的が偽装されず、また個人データを必要としない契約又はサービス提供と抱き合わせられないように確保することを求めている。そうしている場合、GDPRは、同意が求められる個人データの取扱いが直接的又は間接的に契約に関する反対給付になりえないことを確保している。個人データの適法な取扱いの二つの法的根拠、すなわち、同意と契約は融合させて曖昧にできるものでもない。

 ここでの趣旨は、先の第7条第4項で説明した内容とほぼ一緒ですね。特に前文第43項の内容と一致しますね。

 インターネットから商品を購入しようとした時や、セミナーに参加しようと思ったら、個人情報を入力しないといけないことが多いです。

 商品の購入に、入力が必要な情報として、たとえば氏名、郵便番号、住所、電話番号、カード番号といったものは、商品の購入や配達のために必要な情報と言えます。

 また、セミナーに参加しようと思ったら、セミナーの追加情報(参加の可否、申込番号、当日の参加方法など)の情報を後日送って頂く必要があることが多いので、セミナー会場では本人確認が必要になるケースもありますので、氏名、所属、電話番号、メールアドレスなどを申込時に入力しないといけないことも分かります。

 しかしながら、商品購入やセミナー参加に確実に不要な情報を収集しなければ、購入できなかったり、参加できないような、明らかに個人情報の取得を目的としたものが、日本国内で多く目にします。

 例えば、申込者の氏名や電話番号、住所などは仕方がないとして、働いしている会社名や所属、役職、勤務先電話番号とか、家族構成、自宅住所、世帯年収、趣味などが、入力の必須項目として設定されている場合があります。

 そして、規約的なものを見ると、「あなたが入力した個人データを第三者に提供することがあります」といったことが書いてあり、個人情報を売買する名簿屋への販売、もしくは自身が名簿屋となることを目的とした事業をしている会社があります(某経済新聞社とか…)。

 セミナーやシンポジウムに参加するために、このような個人情報を提供するのは割に合わないので、私はそういった会社とはお付き合いしないことにしていますが、本当に参加したい人は、本来的に参加に不要のはずの個人情報を差し出し、かつ、それに「同意を取得した」とい形を取らないといけないのでしょうか。

第28項

したがって、同意の要求が管理者による契約の履行と結びつけられている場合には常に、管理者による取扱いのために自分の個人データを利用させたくないデータ主体は、要求したサービスを拒まれるリスクを負う

第29項

抱き合わせ又は結びつけの状況が起きているかどうかを評価するには、契約の範囲が何か、及び契約の履行に必要なデータは何かを判断することが重要である。

 そもそも、商品購入やセミナー参加に必要な個人情報を、その目的達成のために必要は範囲で取扱うことについては、GDPRでは本人同意は不要です(第6条第1項(b))。
 むしろ、サービス提供のために必要な個人情報の取扱いの法定根拠を、データ主体による「同意」とするのは適切でないとされています。

第31条

管理者が契約の履行のために実際に必要な個人データの取扱いを求める場合、同意は適切な法的根拠ではない。

 本来必要な範囲を超えて、それ以外の個人情報を取得しようとした時、その部分だけ本人同意を法的根拠にしてデータを取扱うとすることは認められますが、そうであれば、そのサービス提供では不要な個人情報を取扱うために法的根拠としてデータ主体による「同意」を用いることができますが、その同同意は、サービス提供とは独立して同意を拒否できる形にする必要があります。

 すなわち、サービス提供に不要な個人情報の提供には同意しないけど、サービス提供の範囲内での取扱いが必要となる個人情報の提供は行うのであれば、それは事業者側はサービスを提供しなければならず、「本来不要な個人情報の同意に基づく取扱いを認めなければサービス提供をしない」という形のビジネスは認められていないということです。

 また、そのような「抱き合わせ」の同意は、「同意に条件性」が入り込んでいるので、「自由に与えらえた」同意には該当せず、そのような同意は無効ということになります。

 ウェブサイトを見ていると、画面の下部などに「あなたのクッキーを利用しています。『同意(Accept)』をしない限りは閲覧できません」とか「スクロールなど画面を動かしたら同意したことと見なします」という、いわゆる「クッキーウォール」が問題になっていますが、GDPRではこれを否定しています。

 その考え方は同じ「条件性」によるものです。

第39項

同意が自由に与えられるためには、ユーザーの端末機器に情報を保存したり、すでに保存されている情報へのアクセスに対して、ユーザーが同意することを条件として、サービスや機能へのアクセスを行ってはならない(いわゆるクッキーウォール)。

第40項

事例 6a:ウェブサイトプロバイダーは、クッキーの受け入れ要求と、クッキーの設定情報、及びデータが処理される目的に関する情報を除いて、コンテンツが表示されないようにブロックするスクリプトを設定した場合、「クッキーを受け入れる」ボタンをクリックしない限り、ユーザーはコンテンツにアクセスすることはできない。データ主体に真の選択肢が表示されていないため、当該同意は自由に与えられたことにはならない。

第41項

データ主体が「クッキーを受け入れる」ボタンをクリックすることに依存して、サービスが提供されるため、これは有効な同意とはならない。データ主体に対して真の選択肢が与えられていない。

3.1.3 粒度(Granularity)

第42項

一つのサービスが複数の目的のためにいくつもの取扱業務を行うこともある。そうした場合、データ主体はひとまとまりの取扱いの目的に同意しなければならないのではなく、どの目的に対して承諾するのかを自由に選択できるようにすべきである。あるケースでは、GDPRにしたがって、一つのサービス提供を開始するために、複数の同意が必要とされるかもしれない。

第44項

管理者が取扱いに関する複数の目的を一括し、各目的についてそれぞれ個別に同意を求めようとしないならば、自由の欠如となる。この粒度は、以下の第3.2節で取り上げるように、同意が特定されるべき必要性と密接に関係している。データの取扱いがいくつかの目的のために行われる場合、有効な同意という条件に従う解決策は、粒度、すなわち、これらの目的の区別、及び各目的について同意を得ることにある。

 これは、簡単にいうと「包括同意」が認められていないことを意味します。

 臨床試験で考えてみると、被験者から収集したデータについての利用目的は、当局への承認申請、有害事象の報告、海外規制当局への報告、論文投稿、試験結果の透明性の確保、社内での他の化合物の開発を目的にした参考データ、など、実はいろいろなデータの利用目的を含むことがありえます。

 臨床試験を実施している担当者からすると、同じ一つの目的のための実施している一連のプロセスと考えるかと思いますが、欧州で考えると、臨床試験を実施する規則であるClinical Trial Regulation(No 536/2014)(以下、EU-CTR)で認められているデータ処理については同意など他の法的根拠が不要になるものの、EU-CTRで認められていないデータ処理については、目的毎に個別で同意をえる必要があります(こちらについては以下で解説しております)。

EU-CTRとGDPRとの間の関係性に関するQ&Aについて
はじめに  EUのClinical Trial Regulation(EU-CTR)が今月末の2022年1月31日にようやく、ようやく施行されます。 そこでここでは、2019年の2月に欧州委員会(EC)のDG-SANTE(保健・食品安全総局)から公表された「Question and Answers ...
jibun-no.work
2022.01.05

 とは言え、研究開始時には想定していなかった結果が出たために、別の研究目的でそのデータを使いたくなったり、他の研究機関と共同研究をすることになるかもしれません。

 医学研究ではこのようなことは良くありますし、医学倫理の考え方からすると、被験者から得た貴重な疾患と治療に関する情報は、できるだけ広く使い、医学・医療の発展に寄与するように活動することが求められます。

  むしろ、医学研究の視点からすると、追加的な目的のために同意が得られなかったからといって、新たに被験者を集め研究をやり直すことは非倫理的です。
 なぜなら、不確実性のある研究に協力してもらって収集したデータがあるのに、そのデータを有効利用せず、再度、不確実性のある治療を受けてもらう方が非倫理的だからです。

 このような医学研究特有の問題については、GDPRの前文第33項に言及されているので、立法側もその事情を理解しているものだとは思いますが、具体的にどのようにオペレーションすべきかについては、もう少し解説されたガイダンスの発出が求められているところです。

(33) 科学研究の目的のための個人データの取扱いの目的をそのデータ収集の時点で完全に特定することは、しばしば、不可能なことである。それゆえ、データ主体は、科学研究のための広く認められた倫理基準が保たれている場合、一定の分野の科学研究に対して同意を与えることができる。データ主体は、予定されている目的が許す範囲内で、一定の分野の科学研究のみ、又は、研究プロジェクトの一部分のみに対して同意を与える機会をもつものとしなければならない。

一般データ保護規則(GDPR)の前文 第33項(個人情報保護委員会の仮日本語訳)

 また、同意を取り直すにしろ「力の不均衡」が働くと考えられるので、実際、どうしたら良いの?と思ってしまいます。

 こういった疑問は欧州の中でも問題視されており、欧州委員会にも質問が多く寄せられているようなのですが、未だ明確な回答がなされていない状況です(2021年中にガイドラインが公表される予定だったのですが、2022年9月現在、未だ公表されておりません)。

 2021年2月にEuropean Data Protection Board(EDPB)から公表された「現時点の状況について述べた文書」については、別途、紹介させて頂きたいと思います。

3.1.4 不利益(Detriment)

第46項

管理者は、不利益を受けずに同意を拒否又は撤回できることを示す必要がある(前文第42項)。たとえば、管理者は、同意の撤回がデータ主体の費用負担をもたらさず、その同意撤回により明確な不利がないことを証明する必要がある

 同意を撤回できることは当然のこととして、その際にも同意を撤回しようとする(撤回した)データ主体に不利益を被ることが無いことを、データ管理者は保証し、また証明する必要があります。

第49項

事例8:あるライフスタイルのモバイル・アプリをダウンロードする際、そのアプリは電話の加速度計へのアクセスのために同意を求める。これはアプリが動作するのに必要ではないが、ユーザーの移動や活動のレベルをさらに学習しようとするデータ管理には役立つものである。ユーザーが後にその同意を撤回する場合、ユーザーはアプリが限定的にしか動作しないことに気づく。これは前文第42項で意味する不利益の例であり、それは同意が有効に得られたものではなかったこと(また、管理者がその方法により収集したユーザーの行動に関する個人データの全てを消去しなければならないこと)を意味する

3.2 特定の

第55項

第6条(1)(a)は、データ主体の同意が「一つ又は複数の特定の」目的に関係して与えられなければならず、またデータ主体はそれら個々に関して自由に選べることを、確認している。同意が「特定の」ものでなければならないという要件は、データ主体に対してユーザーの管理権限と透明性を確保することを目的とする。この要件はGDPRにより変更されたものではなく、これまで同様に「説明を受けた」同意の要件と密接に関係している。同時に、それは「自由な」同意を得るための「粒度」の要件に沿って解釈されなければならない。要するに、「特定」の要素に従うためには、管理者は以下を適用しなければならない

  1. 機能の隠れた拡張(function creep)に対する保護措置としての目的の詳述
  2. 同意要求についての粒度、また
  3. データ取扱活動についての同意取得に関係した情報を、他の事案についての情報から、明確に分離すること

 GDPRの第6条第1項(a)が引用されいるので当該条文を確認してみると「(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。」となっており、特定の目的に対して同意が与えられる必要があることをこのガイドラインでさらに明確に説明しています。

 また、「複数の特定の」目的であっても、各目的ごとに同意が選択できるようにしないといけないことは、粒度で説明があった通りです。

 「機能の隠れた拡張(function creep)」という言葉については、第56項にて、「データ主体がデータの最初の収集に同意した後に、データが取扱われる目的が漸次的拡大又は曖昧化すること」といった趣旨で説明されています。

 第5条第1項(b)で説明されている「目的の限定」を基礎とし、その目的を明確に詳細に特定することは、”function creep”の防止に繋がり、管理又は第三者による個人データの予測されない利用やデータ主体の管理の喪失に繋がるリスクの保護措置になるとされています。

第57項

管理者が第6条(1)(a)に依拠する場合、データ主体は常に特定の取扱目的に対して同意を与えるものとしなければならない。第5条(1)(b)及び前文第32項の「目的の限定」の概念に沿って、業務が同じ目的のためである限り、同意は異なった業務をもカバーしうる。言うまでもなく、特定の同意は、データ主体が自らに関するデータ利用の意図された目的について明確に情報を与えられたときにのみ、得られるものである。

第58項

目的の両立性に関する規定にかかわらず、同意は目的に対して特定のものでなければならない。データ主体は、それが管理され、そのデータが特定の目的のためにのみ取扱われるとの理解で、同意を与える。管理者が同意に基づいた取扱いを行いまた別の目的のためにそのデータの取扱いを望む場合、管理者は、その状況をより上手く反映する他の法的根拠がない限り、その別の目的のために追加の同意を求める必要がある

 当然ながら、当初同意を得た目的とは別の目的でデータの取扱いを望む場合には、その取扱いを適法とする他の法的根拠がない限り、改めて同意を取り直す必要があります。

3.3 説明を受けた

第62項

GDPRは、同意が説明を受けた上でのものでなければならないとする要件を強化している。透明性の要件は、GDPR第5条に基づき、基本的原則の一つであり、公正性及び適法性の原則と密接に関連する。同意の取得に先立ってデータ主体に情報を提供することは、データ主体による、情報に基づく意思決定を可能とし、何について承諾しているかを理解できるようにし、また、たとえば、同意を撤回する権利を行使できるようにするために、不可欠である。管理者がアクセス可能な情報を提供しないならば、ユーザーの管理権限は幻想であり、同意は取扱いの有効な基礎とはならない。

第63項

説明を受けた上での同意の要件に従わない帰結は、同意が無効となり、また管理者がGDPR第6条違反となりうることである。

3.3.1 同意が「説明を受けた」うえでのものとなる最小限の要件

第64項

同意が説明を受けたうえでのものとなるためには、データ主体に対して選択を行うのに重要ないくつかの要素についての情報を提供する必要がある。それゆえ、EDPBは、少なくとも、以下の情報が有効な同意を得るために必要であると考えている。

  1. 管理者の身元
  2. 同意が求められるそれぞれの取扱業務の目的
  3. 収集され利用されるデータ(そのタイプ)
  4. 同意を撤回する権利の存在
  5. 関連する場合、第22条(2)(c)に従い自動化された意思決定のためのデータ利用についての情報、及び
  6. 十分性認定及び第46条で述べられる適切な保護措置がないことによるデータ移転の起こりうるリスクについて

第65項

事項(i)と(iii)に関して、EDPBは、求められる同意が複数の(共同)管理者によって依拠されるものである場合、又はデータがオリジナルの同意に依拠することを望む他の管理者に移転され又は取扱われるものである場合、それらの組織の全ての名前が明示されるべきであることを注記しておく。GDPR第13条及び第14条を遵守するため、管理者が処理者を含む取得者又は取得者の類型の全てのリストを提出する必要があるとしても、処理者は同意要件の一部として名前を明示する必要はない。結論として、EDPBは、ケースの状況とコンテクストによっては、データ主体が対象となる取扱業務を真に理解できるようにするため、より多くの情報が必要とされるかもしれないことを述べておく。

 第64項にて、EDPBが「有効な同意を得るために必要」と考えている情報提供の内容として示している(i)~(vi)(表示上1~6としている部分です)の内容は、第13条および第14条で定められている「データ主体に提供される情報」の一部となっているため、同意取得時に第13条または第14条で求められている情報を提供すれば問題ないでしょう。

3.3.2 情報を提供する在り方

第67項

同意を求める際、管理者は、どのような場合でも、それらが明確かつ平易な用語を用いることを確保すべきである。これは、メッセージが法律家だけでなく標準的な人にも容易に理解できるようにすべきことを意味している。管理者は、理解が困難な長文のプライバシー・ポリシーや法律の専門用語の多い説明を使用することができない同意は、他の事案とはっきりと区別できるようにし、理解しやすく容易にアクセスできる方法で提供されなければならない。この要件は本質的に、同意するかどうかについて説明を受けた上での決定をすることに関連する情報が一般的な条件の中に隠されてはならないことを意味している

第68項

管理者は、データ主体が管理者が誰かを簡単に確認し、また承諾しようとしていることが何かを理解できるようにした情報に基づいて、同意が与えられることを確保しなければならない。管理者は、同意の求められるデータの取扱いの目的を明確に説明しなければならない

第69項

アクセシビリティに関する他の特定のガイダンスは、第29条作業部会による透明性に関するガイドラインで提供されている。同意が電子的な手段で与えられる場合、その要求は明確で簡潔でなければならない。階層化され粒度の細かい情報は、一方において、正確で完全であり、他方において、理解しやすいという二重の義務に対処する適切な方法となりうる。

70項

管理者は、その組織に個人データを提供するのがどのような種類の人々かを評価しなければならない。たとえば、ターゲットにする人々に未成年のデータ主体が含まれる場合、管理者は、情報が未成年者にも理解できることを確実に行うよう期待される。ターゲットにする人々を確認した後、管理者はどのような情報を提供すべきか、またそれに続いてどのようにデータ主体に情報を提示するかを決定しなければならない。

 同意のための説明は、データ主体の理解力に十分配慮することが求められています。

第71項

第7条(2)は、他の事案にも関わる事前に形式を定めた書面による同意の宣言を扱っている。同意が(紙の)契約書の一部として要求される場合、同意の要求は他の事案と明確に区別されるようにすべきである。もし紙の契約書が、個人データの利用に対する同意の問題と関係しない多くの側面を含んでいるならば、同意の問題ははっきり目立った形で又は別の文書で扱われるべきである。同様に、同意が電子的な手段によって求められる場合、前文第32項に従い、同意の要求は分離され区別されたものとなっていなければならず、単純に契約条件の1パラグラフとすることはできない。小さなスクリーン又は限定されたスペースの中に情報を入れるときには、適切な場合、ユーザーエクスペリエンス又は商品デザインについての過剰な混乱を回避するため、階層化された情報提示の方法が考えられる。

 データの取扱いに関する同意を、他の契約に関する文書と同一にすべきではなく、データ主体が混同しないよう別の書類にするなどの措置を講じることが求めらられています。

 これを臨床試験(研究)に当てはめると、一般的に行われる「医学研究に関する同意」を取得する際に用いる同意説明文書に、研究の実施で必要となる「データの取扱い」に関する同意説明を含めることは避けるべきであり、それぞれ別の文書にて同意を取得すべき、ということになります。

3.4 不明瞭でない意思表示

第75項

GDPRは明らかに、同意についてのデータ主体からの声明又は明らかな積極的行為を求めており、これは、同意が常に積極的な行動又は宣言によって与えられなければならないことを意味する。データ主体が特定の取扱いに同意したことが明らかでなければならない。

第77項

「明確な積極的行為」は、データ主体が特定の取扱いに対して行った同意の意図的な行為でなければならないことを意味している前文第32項はこれについて追加のガイダンスを示している。同意は、電子的な手段を含め、書面又は(記録された)口頭の陳述によって収集されうる

第79項

既存の(国家の)契約法に反することなく、同意の表示に先立ち、データ主体に利用できる情報について適切な注意を喚起しなければならないとしても、同意は記録された口頭の陳述により得ることができる。GDPRのもとでは、予めチェックの入ったオプトインのチェックボックスの利用は無効であるデータ主体の沈黙やアクティブ化しないこと、また単にサービスを利用することは、選択についての積極的な表示とみなすことができない

第81項

管理者は、同意が、契約書に合意すること又はサービスの一般的な条件を承諾することと同じ行為によっては得られないことにも、注意しなければならない。一般的な契約条件による包括的な承諾は、個人データの利用に関する同意のための明確な積極的行為とはみなされない。GDPRは、管理者に対して、承諾をしないためにデータ主体の介入を必要とする、事前にチェックされたボックス又はオプトアウトの仕組み(たとえば、「オプトアウトのボックス」)の提供を認めていない。

第84項

管理者は、データ主体にとって明確な方法で同意メカニズムをデザインすべきである。管理者は曖昧さを回避し、同意が与えられる行為が他の行為とは区別できることを確保しなければならない。そのため、ウェブサイトの通常利用を単に続けていることは、データ主体が提案された取扱業務を承諾することを示す意思表示であると推論できる行為ではない

 「不明瞭な意思表示」とならないようにするためには、データ保護バイデザインやデータ保護バイデフォルトの考え方が重要になってくることが理解できます。

 前半として、ここで終えます。
 後日、続きの(後半)が公開できることを祈りながら・・・

タイトルとURLをコピーしました