GDPRにおける同意とは？徹底的に解説！

EUで施行された個人情報保護に関する法令であるGDPRについてご存じでしょうか？
近年グローバル化とともに個人情報の扱い方が大きく変わっており、個人情報保護に関する知見は必要不可欠となっています。
本記事では個人情報保護の最先端をいくGDPRの概要や施行の背景、またGDPRにおける同意について徹底的に解説していきます。GDPRについて理解を深めたい方はもちろん、個人情報保護について知りたい方にも有益な情報となっておりますのでぜひ、ご一読ください。

1.GDPRとは？

「EU一般データ保護規則」（GDPR：General Data Protection Regulation）とは、個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令のことで、2018年5月25日に施行されました。GDPRの主な内容についてまとめると以下のようになります。
・個人情報の保護に対する権利という基本的人権の保護を目的とした権利
・本人が自身の個人データの削除を個人データ管理者に要求できる
・自身が個人データを簡単に取得でき、別のサービスへ再利用できる
・適正な管理が必要とされ違反には厳しい行政罰が定められている
・EUに圏内に支店や現地法人がなくてもネット上などでEU所在者の個人データをやり取りする場合にも対象になる
・組織の規模、公的機関、非営利組織等関係なく対象になる

2.GDPRが施行された背景

GDPRが施行される以前には｢データ保護指令｣という個人情報を扱う法律が存在していました。しかしこれは概念的な法律であり、社会へ与える影響が小さいという問題点がありました。これらを改善するべく施行されたのがGDPRです。
またGDPRが施行された背景にはグローバル化とデジタル化も大きく関わっています。現在、グローバル化によって国境を越えて多くのビジネスが行われるようになりました。その一方でサーバー攻撃や内部不正などで個人情報が侵害されるリスクが高まっています。こうしたリスクから個人情報を守るためにGDPRが施行されました。
さらに、対アメリカを想定してGDPRが施行されたとも考えられます。世界的なIT企業のGoogleやMetaなどは個人データを集め、広告に利用し、利益を上げるというビジネスモデルで莫大な富を築いています。こうした企業による支配構造の懸念としてもGDPRが果たす役割は大きいのです。
よってGDPRの施行の背景にはユーザーの個人情報を守るとともに、欧州によるアメリカへの牽制という側面も持ち合わせています。

3.GDPRと個人情報保護法の違い

GDPRは欧州における個人情報を保護する法律であると言えます。しかし日本にも個人情報を保護する法律は存在します。個人情報保護法です。これらの相違点はどこなのでしょうか？

3.1.個人情報保護法とは？

個人情報保護法とは民間事業者に対して個人情報の取り扱いについて規定した法律で2003年に施行、2005年に全面施行されました。
個人情報保護法施行の背景にはインターネットの普及があります。インターネット上で個人情報を用いた様々なサービスが導入される中で、個人情報が不正に使用される被害が頻発しました。こうした状況を改善するべく施行されたのが個人情報保護法です。

3.2.個人情報保護法とGDPRの違い

個人情報保護法とGDPRの違いは一言でいえばその厳格さです。GDPRは個人情報保護法よりもより厳格に個人情報を保護しています。具体的な違いは以下の通りです。

4.GDPRにおける同意とは？

GDPRに準拠した形でデータ管理者がデータを持つにはどのようなことが必要なのでしょうか？
GDPRではデータ管理者が適法、公正、および透明な方法でデータを管理することが求められています。これらを満たすためには第6条の6つの法的根拠のいずれかに該当しなければなりません。そのなかの1つに｢同意｣があります。GDPR第4条において同意はこのように定義されてます。

｢自由に与えられ、特定され、説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの」

ここではデータ主体の4つの意思表示を具体的に見ていきましょう。

4.1自由に与えられたものであること

自由に与えられたとはデータ主体が同意を能動的に行えることを意味します。つまり同意を拒否したり撤回したり、など他の選択肢も与えられた状態の事です。具体的には以下のような場合、自由に与えられたとは見なされない可能性が高いです。
・雇用者と従業員の力関係の間で従業員がやむを得ず個人情報を提供する場合
・2つのサービスを掛け合わせ、両方のサービスに同意しなければサービスを利用できない仕組みになっている場合（個別に同意が行われていない場合）
・サービスの規約中に同意を含ませている場合

4.2特定のものであること

データ管理者がデータ主体の個人情報を得るにあたり、その目的を明確にかつ公正に示さなければなりません。つまり、ウェブ上のサービスにおいてサービス内容が拡充した場合に当初の目的とはまったく違った形で個人情報を利用することは禁止されています。明確な目的をデータ主体に示すことによって自己のデータをより詳細にコントロールすることができると考えられています。

4.3説明を受けたものであること

単にデータ主体がWeb上の承認ボタンを押したからといって同意しているとはなりません。常にデータ管理者がデータ主体に対して事前に十分な説明を受けたことを示す必要があります。では十分な説明を受けたとはどういう状態を指すのでしょうか？

4.3.1.有効な同意の最低条件

十分な説明を受けているためには以下のようなことを最低限示す必要があります。
・管理者の身元
・データ取り扱いの目的
・収集・利用されるデータの種別
・データ主体に撤回を示す権利があること

4.3.2.説明の方法

説明の方法についても以下のような決まりがあります。
・データ取り扱いの同意以外の取引を行う場合、データの取り扱いに関する同意の要求は他の部分から区別できるようにしなければならない
・一般の人にとって理解しやすいような明確で安易な言葉を用いなければならない

4.4.明瞭であること

データ主体による同意は明確な積極的行為によって表明されたものでなければなりません。
インターネットサービスでは同意を表明するチェックボックスにチェックを入れる行為は明確な積極的行為と見なされます。ただし、あらかじめチェックを入れておいたチェックボックスを利用することは積極的な行為とは見なされません。注意が必要です。

5.GDPRが日本に与える影響

5.1.対象となる日本企業

対象となる日本企業には以下のような企業が挙げられます。

・EUに子会社や支店などの活動拠点がある
・日本からEU向けに商品やサービスを提供している企業
・EUから個人データの処理について委託を受けている企業　

5.2.GDPRへの対応

GDPRが適用されるのはEU地域の事業者だけでなく、EUの個人データを取り扱っている全世界の事業者にも適用されます。つまり日本企業にもGDPRの内容を理解し適応していくことが求められます。GDPRの基準に違反してしまうと高額な請求が課せられたり、EU地域でのビジネスが今後できなくなってしまう可能性があるため注意が必要です。

6.まとめ

いかがだったでしょうか？
本記事ではGDPRの概要や施行の背景、GDPRにおける同意の意味について徹底的に解説してきました。個人情報の扱い方が時代とともに大きく変わっている中でまずは個人情報保護の最先端をいくGDPRについての理解を深め、自社がその基準を満たしているのか確認してみましょう。

Pマーク取得の実績No.1のコンサル会社UPFでは、長年培ってきた幅広い知見をもとにお客様のお悩みを解決いたします。
｢自社状況がGDPRの要件を満たしているか確認したい｣、｢将来的にEU展開を考えている｣などのお悩みをお持ちの企業様・ご担当者様はどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。