個人データ保護規制における同意取得上の課題とは

2019年1⽉、フランスのデータ保護当局である「情報処理及び⾃由に関する国家委員会（CNIL）」は、個⼈データの取得に関する法令違反の罰則⾦として、海外の違反事業者に5000万ユーロ（約60億円）の⽀払いを命じた。個⼈データを取得する際に、本⼈に対する情報提供が不⼗分であり、透明性が確保されていない、同意取得の⽅法が不適切である、ということが処罰の主な理由だ。
海外の個⼈データ保護規制では、⽇本の法令よりも厳格に同意取得の要件を定めている例が多く、⽇本企業が海外の個⼈データを取得しようとする場合には特に注意が必要となる。

例えば、本来のサービス提供とは無関係の利⽤⽬的について⼀括で同意を求めるような「抱き合わせ同意」や、本⼈の能動的な⾏為を伴わない「⾒なし同意」のようなものは、無効とみなされる可能性がある。

また、本⼈への事前の情報提供について、最低限提⽰すべき項⽬が法令で具体的に定められているケースも少なくない。単に利⽤⽬的を伝えるだけでなく、誰が管理責任を負うのか、データはいつまで保持されるのか、どのような種類のデータが⾃動で取得されるのか、このようにあらかじめ定められた項⽬が事前に本⼈へ提⽰されていなければ、同意が有効とはみなされない。事前の情報提供は、平易、明瞭な表現で具体的な内容が伝達されなければならず、情報が複数⽂書に分散しないよう配慮することも求められる。

さらに、後からいつでも同意を撤回できるようにすることを求める規制も増えている。その中には、単に同意の撤回を可能とするよう求めるだけでなく、同意撤回の権利があることを本⼈へ伝達する義務についてセットで要求している例もある。
以上の通り、概して海外法令では⽇本の法令よりも厳格な同意取得を求める傾向にある。多くの⽇本企業における現在の同意取得⽅法は、冒頭の仏当局による処罰事例での要求基準を満たせないとの⾒⽅もある。⽇本企業がグローバルにビジネスを展開する場合、少なくとも進出国の規制要件を満たせるよう、その同意取得の⽅法を適切に⾒直すことが必要となる。

1. 本人の能動的な行為により同意の意思表示がなされる仕組みとなっているか。
2. 同意を得る前に、個人データの取扱いについて十分な情報提供が行われているか。
3. 情報提供は、明瞭かつ平易な文言を用い、理解しやすい形でなされているか。
4. 提供情報は容易にアクセスし得る場所に存在するか（提供情報が分散していないか）。
5. 同意要求は他の案件と明らかに区別できるものとなっているか（包括同意となっていないか）。
6. 同意は、他の制約条件を受けない状況下で行われるものとなっているか。
7. 同意が撤回できることについて明示されているか、また撤回は同意と同程度に容易か。

日刊工業新聞 2019年7月9日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
パートナー　大洞 健治郎