Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)テクノロジーでビジネスを加速するための実践Webメディア

テーマ別に探す

企業が”同意を取得せず”にパーソナルデータを利活用する条件とは?

2014/10/01 00:00

 パーソナルデータを利活用したい事業者にとって、本人からどのように同意を取得するかは、共通する愁眉の課題である。しかし日本よりもプライバシー保護に厳しいといわれるEU(欧州連合)のルールの中に、本人の同意がなくてもパーソナルデータの利活用が認められる根拠が定められている。タイトルを見て匿名化を連想した読者は多いかもしれないが、本稿では、データ加工によらずに、本人から同意を取得せずにパーソナルデータを利活用する条件について考える。

EUには"同意無し"でパーソナルデータ利用を認める根拠規定がある

  ユーザーのウェブ閲覧時の行動を追跡するクッキー等の利用について、EUでは、オプトイン方式(本人から事前に同意を取得する方式)が事業者に義務づけられている(本連載の第5回を参照)*1。このため、EU構成国の事業者が運営するウェブサイトにアクセスすると、最初にクッキーの利用について同意を求めるアラートが表示される*2。

 実は、2002年にEUからクッキーの取扱いに関する最初の指令が出された時は、オプトアウト方式(本人からの求めに応じて事後的に、パーソナルデータの利用を停止する方式)*3が規定されていた。これが、2009年に指令が改定され、現在のオプトイン方式に改められたのである*4。背景には、行動ターゲティングが高度化してクッキーが複数事業者間で共通して利用される等、プライバシー侵害リスクが高まっていると当局に判断されたことがある。

 しかし、クッキーに対する最初の規制がオプトアウト方式だったように、EUでは、パーソナルデータの取扱いの根拠として、本人の同意によらないものも規定されている(下記表)*5。これらのパーソナルデータの取扱いが認められる根拠のうち、(b)~(f)については、日本の個人情報保護法においては、同意取得の例外として対応する規定がある*6。

 ただし、最後に掲げられた「(f)事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)」は、事業者に一定の裁量を与えるもので、日本の個人情報保護法の対応する規定*7よりもパーソナルデータの利活用に配慮した規定となっている。

 では、どのような場合に、事業者の正当な利益を認め、本人から同意を取得せずにパーソナルデータを利用することができるのであろうか。

■EUにおいてパーソナルデータの取扱いが認められる6種類の根拠 

(a) 本人の明確な意思による同意のある場合

(b) 本人との契約履行に必要な場合

(c) 事業者に課せられた法令上の義務がある場合

(d) 本人の重要な利益の保護に必要な場合

(e) 公共の利益にかなう業務である場合

(f) 事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)

*出所:EUデータ保護29条作業部会 ”Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” (2014年4月9日)邦訳は筆者

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 小林 慎太郎(コバヤシ シンタロウ)

    株式会社野村総合研究所 ICT・メディア産業コンサルティング部 兼 未来創発センター 上級コンサルタント 専門はICT公共政策・経営。官公庁や情報・通信業界における調査・コンサル ティングに従事。情報流通が活発でありながら、みんなが安心して暮らせる社会にするための仕組みを探求している。著書に『パー...

バックナンバー

連載:ビッグデータ社会のプライバシー問題

もっと読む

この記事もオススメ

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5