SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

ビッグデータ社会のプライバシー問題

企業が”同意を取得せず”にパーソナルデータを利活用する条件とは?

■第13回


 パーソナルデータを利活用したい事業者にとって、本人からどのように同意を取得するかは、共通する愁眉の課題である。しかし日本よりもプライバシー保護に厳しいといわれるEU(欧州連合)のルールの中に、本人の同意がなくてもパーソナルデータの利活用が認められる根拠が定められている。タイトルを見て匿名化を連想した読者は多いかもしれないが、本稿では、データ加工によらずに、本人から同意を取得せずにパーソナルデータを利活用する条件について考える。

EUには"同意無し"でパーソナルデータ利用を認める根拠規定がある

  ユーザーのウェブ閲覧時の行動を追跡するクッキー等の利用について、EUでは、オプトイン方式(本人から事前に同意を取得する方式)が事業者に義務づけられている(本連載の第5回を参照)*1。このため、EU構成国の事業者が運営するウェブサイトにアクセスすると、最初にクッキーの利用について同意を求めるアラートが表示される*2。

 実は、2002年にEUからクッキーの取扱いに関する最初の指令が出された時は、オプトアウト方式(本人からの求めに応じて事後的に、パーソナルデータの利用を停止する方式)*3が規定されていた。これが、2009年に指令が改定され、現在のオプトイン方式に改められたのである*4。背景には、行動ターゲティングが高度化してクッキーが複数事業者間で共通して利用される等、プライバシー侵害リスクが高まっていると当局に判断されたことがある。

 しかし、クッキーに対する最初の規制がオプトアウト方式だったように、EUでは、パーソナルデータの取扱いの根拠として、本人の同意によらないものも規定されている(下記表)*5。これらのパーソナルデータの取扱いが認められる根拠のうち、(b)~(f)については、日本の個人情報保護法においては、同意取得の例外として対応する規定がある*6。

 ただし、最後に掲げられた「(f)事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)」は、事業者に一定の裁量を与えるもので、日本の個人情報保護法の対応する規定*7よりもパーソナルデータの利活用に配慮した規定となっている。

 では、どのような場合に、事業者の正当な利益を認め、本人から同意を取得せずにパーソナルデータを利用することができるのであろうか。

■EUにおいてパーソナルデータの取扱いが認められる6種類の根拠 

(a) 本人の明確な意思による同意のある場合

(b) 本人との契約履行に必要な場合

(c) 事業者に課せられた法令上の義務がある場合

(d) 本人の重要な利益の保護に必要な場合

(e) 公共の利益にかなう業務である場合

(f) 事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)

*出所:EUデータ保護29条作業部会 ”Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” (2014年4月9日)邦訳は筆者

次のページ
「正当な利益」が認められる場合とは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ビッグデータ社会のプライバシー問題連載記事一覧

もっと読む

この記事の著者

小林 慎太郎(コバヤシ シンタロウ)

株式会社野村総合研究所 ICT・メディア産業コンサルティング部 兼 未来創発センター 上級コンサルタント専門はICT公共政策・経営。官公庁や情報・通信業界における調査・コンサル ティングに従事。情報流通が活発でありながら、みんなが安心して暮らせる社会にするための仕組みを探求している。著書に『パーソナルデータの教科書~個人情報保護からプライバシー保護へとルールが変わる~』(日経BP)がある。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6151 2014/10/07 17:59

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング