企業が”同意を取得せず”にパーソナルデータを利活用する条件とは?

EnterpriseZine / 2014年10月1日 0時0分

▲位置情報の利用に対する許容度(総務省調べ)

 パーソナルデータを利活用したい事業者にとって、本人からどのように同意を取得するかは、共通する愁眉の課題である。しかし日本よりもプライバシー保護に厳しいといわれるEU(欧州連合)のルールの中に、本人の同意がなくてもパーソナルデータの利活用が認められる根拠が定められている。タイトルを見て匿名化を連想した読者は多いかもしれないが、本稿では、データ加工によらずに、本人から同意を取得せずにパーソナルデータを利活用する条件について考える。

■EUには"同意無し"でパーソナルデータ利用を認める根拠規定がある

  ユーザーのウェブ閲覧時の行動を追跡するクッキー等の利用について、EUでは、オプトイン方式(本人から事前に同意を取得する方式)が事業者に義務づけられている(本連載の第5回を参照)*1。このため、EU構成国の事業者が運営するウェブサイトにアクセスすると、最初にクッキーの利用について同意を求めるアラートが表示される*2。

 実は、2002年にEUからクッキーの取扱いに関する最初の指令が出された時は、オプトアウト方式(本人からの求めに応じて事後的に、パーソナルデータの利用を停止する方式)*3が規定されていた。これが、2009年に指令が改定され、現在のオプトイン方式に改められたのである*4。背景には、行動ターゲティングが高度化してクッキーが複数事業者間で共通して利用される等、プライバシー侵害リスクが高まっていると当局に判断されたことがある。

 しかし、クッキーに対する最初の規制がオプトアウト方式だったように、EUでは、パーソナルデータの取扱いの根拠として、本人の同意によらないものも規定されている(下記表)*5。これらのパーソナルデータの取扱いが認められる根拠のうち、(b)~(f)については、日本の個人情報保護法においては、同意取得の例外として対応する規定がある*6。

 ただし、最後に掲げられた「(f)事業者が追求する正当な利益がある場合(ただし、本人の権利利益との比較衡量を前提とする)」は、事業者に一定の裁量を与えるもので、日本の個人情報保護法の対応する規定*7よりもパーソナルデータの利活用に配慮した規定となっている。

 では、どのような場合に、事業者の正当な利益を認め、本人から同意を取得せずにパーソナルデータを利用することができるのであろうか。

■EUにおいてパーソナルデータの取扱いが認められる6種類の根拠 

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

トピックスRSS

ランキング