Global Reachグローバル展開する企業を支援

MENU

コラム|Column

  同意の条件(GDPR第7条)

1

処理が同意に基づく場合、管理者は、データ主体が自己の個人データの処理に対して同意しているということを証明できるようにしなければならない。

2

データ主体の同意が他の案件にも関係する書面において与えられている場合、その同意の要求は、明瞭かつ平易な文言を用い、理解しやすくかつ容易にアクセスし得る形で、その他の案件と明らかに区別できる方法によって明示されなければならない。

3

データ主体は、同意を与える以前に以下の事項が通知されていなければならない。同意の撤回は、その付与と同程度に容易なものでなければならない。

  • データ主体は、いつでも同意を撤回する権利があるものとする。
  • 同意の撤回は撤回前の同意に基づく処理の適法性に影響を与えない。

4

同意が自由になされているかについて判断する際、サービス約款を含む契約の履行が、当該契約の履行に必要のない個人データの取扱いに対する同意を条件としているか否かについて、最大限の考慮が払われなければならない。

同意の証明に関しては、第29条作業部会が2017年中にガイドラインを公表することを不確定ではあるものの強く示唆しています。このガイドラインが公表された場合には、自社の同意書のフォーム等が当該ガイドラインの記載を満たすのか等のチェックが必要となると考えられます。

a.以外の項目は、データ主体から直接同意を取得することができない場合、またはデータ主体から「同意」の定義や条件を満たす意思表示を得られない場合に、処理の適法性を担保するために検討する必要があります。b.では契約の当事者としてデータ主体の雇用者ではなく、「データ主体」が規定されていることに注意が必要です。データ主体の雇用者が契約当事者である契約の履行のために処理が必要な場合であっても、b.の項目には該当しません。例えば、b.の項目は、従業員との雇用契約の履行のために必要な従業員データの処理の適法性を基礎付けるうえで有用です。
c.の法的義務は、EU法またはEU加盟国法上のものを意味し、日本法や米国法等のその他の国・地域の法律に基づく義務はそれに該当しません。

f.の管理者または第三者によって追求される正当な利益のために処理が必要な場合は、データ主体の個人データの保護を求める基本的権利および自由と管理者または第三者によって処理によって追及される正当な利益との比較考量を行い、後者が前者を上回る場合に、f.の項目に該当することになります。この比較考量のテストの方法については、第29条作業部会の2014年4月9日付指令95/46/EC第7条におけるデータ管理者の正当な利益の考えに関する意見書に詳しい説明があり、GDPRの解釈においても引き続き参考になるものと考えます。
特に、f.の項目は、データ主体から同意を得ることが現実的ではない場合の対応を考える上で重要です。
なお、前々回御説明した通り、特別カテゴリーの個人データ(人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格に関する個人データ、および遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータまたは自然人の性生活若しくは性的指向に関するデータ)は原則として処理が禁止されており、例外的に適用除外事由が定められています。特に、上記a.との対比では、特別カテゴリーの個人データに関しては適用除外事由に該当するにはデータ主体の明示的な同意が要求されており、また、上記f.のような比較考量のテストは適用除外事由には含まれていません。これは特別カテゴリーの個人データに関して、通常の個人データに比べて適法な処理が認められる範囲が狭く規定されており、手厚く保護されていることを意味します。

IIJではGDPRを始めとする世界各国のプライバシー保護規制対応支援するソリューションや、お客様のGDPR遵守対応をサポートするDPOのアウトソーシングサービスをご提供しています。
IIJプライバシー保護規制対応ソリューション
IIJ DPOアウトソーシングサービス

杉本 武重

S&K Brussels法律事務所 代表パートナー

弁護士(日本、ニューヨーク州、ブリュッセル(B-List))

2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年ウィルマーヘイル法律事務所ブリュッセルオフィス、2017年ギブソン・ダン・クラッチャー法律事務所ブリュッセルオフィス、2018年バード・アンド・バード法律事務所ブリュッセルオフィス・パートナーを経て、2019年S&K Brussels法律事務所を創業し 代表パートナーに就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。