EUには"同意無し"でパーソナルデータ利用を認める根拠規定がある
ユーザーのウェブ閲覧時の行動を追跡するクッキー等の利用について、EUでは、オプトイン方式(本人から事前に同意を取得する方式)が事業者に義務づけられている(本連載の第5回を参照)*1。このため、EU構成国の事業者が運営するウェブサイトにアクセスすると、最初にクッキーの利用について同意を求めるアラートが表示される*2。
実は、2002年にEUからクッキーの取扱いに関する最初の指令が出された時は、オプトアウト方式(本人からの求めに応じて事後的に、パーソナルデータの利用を停止する方式)*3が規定されていた。これが、2009年に指令が改定され、現在のオプトイン方式に改められたのである*4。背景には、行動ターゲティングが高度化してクッキーが複数事業者間で共通して利用される等、プライバシー侵害リスクが高まっていると当局に判断されたことがある。
しかし、クッキーに対する最初の規制がオプトアウト方式だったように、EUでは、パーソナルデータの取扱いの根拠として、本人の同意によらないものも規定されている(下記表)*5。これらのパーソナルデータの取扱いが認められる根拠のうち、(b)~(f)については、日本の個人情報保護法においては、同意取得の例外として対応する規定がある*6。
ただし、最後に掲げられた「(f)事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)」は、事業者に一定の裁量を与えるもので、日本の個人情報保護法の対応する規定*7よりもパーソナルデータの利活用に配慮した規定となっている。
では、どのような場合に、事業者の正当な利益を認め、本人から同意を取得せずにパーソナルデータを利用することができるのであろうか。
■EUにおいてパーソナルデータの取扱いが認められる6種類の根拠
(a) 本人の明確な意思による同意のある場合
(b) 本人との契約履行に必要な場合
(c) 事業者に課せられた法令上の義務がある場合
(d) 本人の重要な利益の保護に必要な場合
(e) 公共の利益にかなう業務である場合
(f) 事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)
*出所:EUデータ保護29条作業部会 ”Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” (2014年4月9日)邦訳は筆者
