EU法を整理した上で日本法について書いていきます。高木・情報法制研究16号106頁もご参照ください。
EU法
- 法的根拠
- EU法(GDPR)では、コントローラーは、同意、契約履行・締結、法的義務の遵守、生命保護、公的事務の遂行又は公的権限行使、正当利益のいずれかの法的根拠がある場合にのみ、個人データを処理することができる(GDPR 6条1項)。これは、OECDガイドライン第1原則(collection limitation)を具体化するものとされている(WP217)。
- 同意
- 同意は、自由意思に基づき(2条(11))、具体的な目的について(6条1項(a))、必要な情報提供を受けた(informed)上で(2条(11)、7条2項)、明確に(2条(11))与えられたものでなければならない。
- デフォルトでチェックされたチェックボックスは同意とは認められず、黙示の同意は認められない(recital 32)。
- 同意は処理の目的ごとに与えられなければならない(recital 32)。
- サービス提供に必須ではない個人データ処理をサービス提供の条件とする場合(7条4項)や、力の不均衡がある場合(recital 43、guidelines 05/2020)には、同意の任意性は疑わしくなる。
- 同意はいつでも撤回可能である。同意の撤回は、既に行われた処理の適法性に影響を与えない。これらのことは、同意が行われる前にデータサブジェクトに告知されなければならず、同意を撤回する方法は、同意を与える方法と同程度に容易でなければならない(7条3項)。
- 同意は、自由意思に基づき(2条(11))、具体的な目的について(6条1項(a))、必要な情報提供を受けた(informed)上で(2条(11)、7条2項)、明確に(2条(11))与えられたものでなければならない。
- 正当利益
- 正当利益による処理の適法性は、正当利益の存在、処理がその追求にとって必要であること(必要性テスト)、データサブジェクトの利益が正当利益に優越しないこと(比較衡量テスト)、の3段階で判断される(6条1項(f)、WP217、guidelines 2/2024)。
- 比較衡量テストにおいては、データサブジェクトの合理的期待が重視される(recital 47、guidelines 2/2024)。
- ダイレクトマーケティングも、正当利益たりうる(recital 47)。
- データサブジェクトは、データ処理に異議権(right to object)を有する(21条)。この権利は、処理の制限を求める権利(right to restriction of processing)(18条)と異なり、恒久的な処理の停止を求めるものである。
- 異議権は、2種類に分けられる。
- 一般の異議権は、個人データ処理が、公的事務の遂行等又は正当利益に基づいて行われている場合に適用される。コントローラーは、正当利益がデータサブジェクトの権利に優越すること等を証明しない限り、処理を停止しなければならない(21条1項)。
- ダイレクトマーケティング目的の個人データ処理に対する異議権は、より強力である。すなわち、データサブジェクトがこれを行使した場合、コントローラーは、当然に処理を停止しなければならない(21条2項、3項)。
- これらの権利は、遅くともデータサブジェクトとの最初のコミュニケーションの時点で、データサブジェクトに告知されなければならない(21条4項)。
- 正当利益による処理の適法性は、正当利益の存在、処理がその追求にとって必要であること(必要性テスト)、データサブジェクトの利益が正当利益に優越しないこと(比較衡量テスト)、の3段階で判断される(6条1項(f)、WP217、guidelines 2/2024)。
- ePrivacy指令との関係
- ePrivacy指令は、以上とは別に、(Cookieなどの)ユーザー端末に保存したデータへのアクセス(同指令5条3項)及びダイレクトマーケティングのための自動電話機(いわゆるロボコール)、ファックス、電子メールの使用について、同意を要求している(同指令13条1項)。これらはGDPRの特別法として位置付けられる(WP217)。
日本法
- 以上に対し、日本法(個情法)では、そもそも単なる処理(取扱い)に法的根拠は要求されていない。
- 令和2年改正で、「当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合」には、利用停止請求ができるとされ(35条5項)、その例として、ガイドライン通則編で、「ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付している」場合が挙げられている。もっとも、「繰り返し送付」によってどのような「本人の権利又は正当な利益が害されるおそれがある」のかは明らかではない。例えば私生活の平穏の侵害が考えられるが、長崎教師批判ビラ事件(やガイドラインの闇金業者の記載)のように、この権利はある程度強度の侵害がなければ違法とはされてこなかったようにも思われる。
- なお、この背景には、欧州委員会の手前、ダイレクトマーケティングを規制したと言いたいが、内閣法制局の手前、全業種に不招請勧誘ないし再勧誘の禁止を導入するとは言いにくかった、といった事情があるのかもしれない。
- 一方、第三者提供制限は、法文上はダイレクトマーケティングを特別扱いするものではないが、実際上、名簿屋の活動をしにくくし、結果的に望まないダイレクトマーケティングを抑制することが(誤りや差別よりも遥かに現実的な問題として)期待されてきたのではないかと思われる。単純に名簿屋を規制しようとした場合、名簿屋を許可制をとするか届出義務を課し、名簿の購入と提供に確認記録義務を課すことが考えられるが(古物営業法や犯収法、携帯電話本人確認法のように)、個情法はあえてそれをせず、全事業者に厳格な第三者提供制限を課し、その例外(=オプトアウト)の要件として、名簿屋に事実上届出義務を課すこととし、第三者提供について確認記録義務を課すこととした(こうする場合、業を定義する必要はないが、第三者提供制限自体が罰則の対象でない以上、届出を「怠った」者を罰則の対象とすることはできなくなる。また、確認記録義務も、古物営業法等に比べれば相当に緩い。)。しかし、一般の事業者のダイレクトマーケティングと、詐欺グループや闇金の名簿利用では、当局として取るべきアプローチが異なり、無理に個情法に組み込もうとすると、過小規制・過剰規制が避けられない。中長期的には、名簿屋対策(データブローカー規制)をある程度個情法から分離することも検討されてよいのではないか。
