GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(26) – 契約に関連した必要性(GDPR第6条1項(b))

 

今回は、GDPR上の処理の適法性の根拠の一つである「契約に関連した必要性」に関し解説します。

 

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 契約に関連した必要性」とは?

Q2: 「契約に関連した必要性」のガイドラインは?

Q3 「特別カテゴリーの個人データ」を「契約に関連した必要性」を根拠に処理可能?

Q4: 契約履行・契約前手続に「必要な」の意味は?

Q5: 「契約の履行のため処理が必要であること」をより具体的に言うと?

Q6:契約終了後の処理を 「契約に関連した必要性」に基づき行うことは?

Q7:「契約締結前にデータ主体の求めに応じた手続を行うため処理が必要であること」とは?

Q8:サービス改善のための処理は?

Q9:不正行為の発見のための処理は?

Q10:オンライン行動履歴に基づく広告は?

Q11:コンテンツのパーソナライゼーションのための処理は?

 

Q1: 「契約に関連した必要性とは?

A1: 「契約に関連した必要性」とは、データ主体の同意、正当利益等とともに、一般企業が、通常の業務で、個人データの処理の適法性根拠とすることができるものの一つです(本Q&A第21回Q3参照)。

確認のため、GDPR本文および前文の内容を以下に示します。

(GDPR第6条第1項)[個人データの]処理は、次の内少なくとも一つに該当する場合にその限りで適法とされる

(a) (同意:省略)

(b)処理が、データ主体が当事者である契約の履行のためまたはデータ主体の要求に応じ契約締結の前の手続を行うため必要な場合。

 

この「契約に関連した必要性」は次の二つに分けることができます

①管理者とデータ主体の間の契約の履行のため処理が必要であること

②管理者とデータ主体の間の契約の締結前にデータ主体の求めに応じた手続を行うため処理が必要であること

 

Q2: 「契約に関連した必要性」のガイドラインは?

A2: 欧州データ保護会議(European Data Protection Board)(EDPB)(WP29の後継組織)は、2019年10月8日付けで、オンラインサービス提供に関連した「契約に関連した必要性」のガイドライン[1](以下単に「ガイドライン」という)を公表しました。

以下のQ&Aではガイドラインの概要を示します。

 

Q3: 「特別カテゴリーの個人データ」を「契約に関連した必要性」を根拠に処理可能?

A3: ガイドラインで以下の通り説明されています。

人種・民族的出自等に関する「特別カテゴリーの個人データ」については「契約に関連した必要性」に基づき処理することはできず、データ主体の「明示的な」同意等第9条第2項に定める他の根拠によらなければ処理することができない(G21)(「G*」はガイドライン中の番号。以下同じ)。

 

Q4: 契約履行・契約前手続に「必要な」の意味は?

A4: ガイドラインで以下の通り説明されています。

その個人データの処理が、データ主体への契約対象サービスの提供に客観的に不可欠(integral)であるという意味である(G30)。従って、次のように言える(G25)。

(a)そのサービスの提供に必要でない処理が契約上規定されていてもその処理は契約履行に必要とは言えない(G23, 28)。

(b)「必要」であるためには、サービス履行等の目的達成のため他にプライバシー侵害度がより低い(less intrusive)処理手段がないことを要す

(c) また、サービス履行等に「有益な」(useful)だけでは「必要」とは言えない

 

Q5: 「契約の履行のため処理が必要であること」をより具体的に言うと?

A5: ガイドラインで以下の通り説明されています。

【例1】 次の処理は「契約の履行のため処理が必要であること」を根拠として行うことができる

(i)  電子商取引においてクレジットカード払いのため顧客のカード情報を処理すること。

(ii) 商品配送のため顧客住所データを処理すること。

しかし、顧客が自宅でなく指定箇所での引取りを希望した場合は顧客住所データを処理することは契約履行に必要とはいえないから 「契約に関連した必要性」の根拠に基づき行うことはできない。

【例2】顧客のサイト訪問履歴に基づきその嗜好・生活様式等のプロファイリングをすることは、それが契約上規定されていたとしても契約履行のため必要とは言えない。従って、 「契約に関連した必要性」の根拠に基づき行うことはできない(同意等他の根拠によらなければならない)。[なおプロファイリングに関してはQ11も参照]

複数のサービスが一括して(bundling)提供される場合は、その個々のサービスごとに「必要性」が満たされなければならない(G36, 37)。

ある処理が、契約履行に必要であるとしても、その後の処理に必要とは限らない。但し、商品違いや引渡遅延等への対応のための個人データの処理は、契約履行に必要なものとして 「契約に関連した必要性」の根拠に基づき行うことができる(G38)。

【例3】 オンラインで購入した商品の色が注文と異なるため顧客が販売会社に連絡し、その会社がこれに対応するため行う当該顧客の個人データの処理は、契約履行に必要なものとして 「契約に関連した必要性」の根拠に基づき行うことができる。

 

Q6:契約終了後の処理を 「契約に関連した必要性」に基づき行うことは?

A6: ガイドラインで以下の通り説明されています。

契約終了後は原則として契約履行のため必要とは言えなくなるから個人データの処理を終了しなければならない(G41)。

契約終了後に他の根拠に基づき処理を行うには、その処理実行前(例:個人データ取得の際)に当該他の根拠(に基づき処理すること)についてデータ主体に情報提供(GDPR 13, 14)されていなければならない(G43, 44)。

【例4】 オンラインサービス利用者との契約が終了し未払料金・契約終了後の権利・義務も残っていない場合は、そのユーザの利用履歴は消去しなければならない。

但し、加盟国の国内法上、一定期間一定データを会計処理の目的で保存しなければならない場合は、そのことをデータ主体に事前に情報提供し、「管理者が負う法的義務を遵守するため処理が必要なこと」(6(1)(c))を根拠として保存することができる。

 

Q7:「契約締結前にデータ主体の求めに応じた手続を行うため処理が必要であること」とは?

A7: ガイドラインで以下の通り説明されています。

「データ主体の求めに応じて」であるから、データ主体が求めていない迷惑メール等による広告(unsolicited marketing)をするための処理はこの根拠に基づき行うことはできない(G47)。

【例5】 データ主体が自分のいる地域で管理者がサービスを提供しているかを確認するため自宅郵便番号(postal code)を提供[入力]する場合、管理者サイトによる郵便番号データの処理は「データ主体の求めに応じて」行うものと言えるから、 「契約に関連した必要性」の根拠に基づき行うことができる。

【例6】 銀行が、加盟国の国内法に従い銀行取引申込者に身分証明データの提供を求める場合は、「データ主体の求めに応じて」行うのではないからこの根拠に基づき行うことはできない。但し、この処理は「管理者が負う法的義務を遵守するため処理が必要なこと」(6(1)(c))を根拠として行うことができる。

 

Q8:サービス改善のための処理は?

A8: ガイドラインで以下の通り説明されています。

サービスの改善・開発(improvement, development)のための処理は、その処理をしなければサービス提供ができないわけではない。従って、 「契約に関連した必要性」の根拠に基づき行うことはできない。但し、データ主体の同意、正当利益等の根拠に基づき行うことはできる(G48)。

 

Q9:不正行為の発見のための処理は?

A9: ガイドラインで以下の通り説明されています。

不正行為防止(fraud prevention)のためのデータ主体の監視(monitoring)・プロファイリングは 「契約に関連した必要性」の根拠に基づき行うことはできない。但し、正当利益・法的義務履行等の根拠に基づき行うことができる可能性はある(G50)。

 

Q10:オンライン行動履歴に基づく広告は?

A10: ガイドラインで以下の通り説明されています。

オンライン行動履歴に基づく広告(online behavioral advertising)(OBA)、ターゲティング広告(targeting advertisement)のためのトラッキング、プロファイリングその他の処理は、契約履行・契約前手続に必要とは言えない。従って、 「契約に関連した必要性」の根拠に基づき行うことはできない(G51~53)。

Cookie等を利用する場合はePrivacy指令(5(3))に基づく加盟国国内法に従い同意を得なければ行うことができない(G55, 56)。

 

Q11:コンテンツのパーソナライゼーションのための処理は?

A11: ガイドラインで以下の通り説明されています。

オンライン上でコンテンツを提供するサービスにおいて、そのコンテンツを個々のユーザの興味・関心等に合わせて提供すること(パーソナライゼーション:personalization)がそのサービスの本質的な(intrinsic)ものである場合、言い換えれば、そのパーソナライゼーションがなければサービスを提供できない場合(に限り)、その処理は契約履行に必要と言え、「契約に関連した必要性」の根拠に基づき行うことができる

【例6】 ユーザーの興味・関心に基づき、様々なニュースサイトのコンテンツを収集・集約して公開するニュースアグリゲーションサービスでは、(そのパーソナライゼーションがなければサービスを提供できないから)その処理は契約履行に必要と言え、「契約に関連した必要性」の根拠に基づき行うことができる可能性がある

【例7】 ホテル検索サービスにおいて、ユーザの過去のホテル予約履歴に基づきそのユーザのプロファイリングを作成し、ユーザが再度その検索サイトを訪問した際に特定のホテルを推奨(recommend)することは、契約履行に必要とは言えないから「契約に関連した必要性」の根拠に基づき行うことはできない

【例8】 オンラインマーケットプレイス(online marketplace)において、ユーザの過去の閲覧履歴に基づいて特定の商品を推奨すること(personalized product suggestion)は、契約履行に必要とは言えないから「契約に関連した必要性」の根拠に基づき行うことはできない

 

今回は以上です。次回は、同意、正当利益、契約に関連した必要性以外の処理の適法性について解説します。

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

【著者の最近の個人情報保護関連書籍】

​NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

GDPR関連資格CIPP/E準拠 詳説GDPR  (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR  (下) – GDPRとCookie規制」 2019年11月

[2]

                                 

【注】

 

[1]オンラインサービス提供に関連した「契約に関連した必要性のガイドラインGuidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects  Version 2.0(正式版), 8 October 2019

[2]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄  (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP  (International Association of Privacy Professionals) 会員、CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • Q&Aで学ぶ契約書作成・審査の基礎 第4回 – 契約用語2021年7月15日 Q&Aで学ぶ契約書作成・審査の基礎 第4回 – 契約用語   契約書では、日常あまり使わない独特の用語・用法(以下「契約用語」という)が使われる場合があります。契約を一から作成するような場合、この契約用語の使い方に案外悩むのではないでしょうか。そこで、今回はこの契約用語について解説します。 なお、本Q&Aは、全く新任の法務担当者(新卒者や法学部以外の出身者を含む)も読者として想定しているので、基本的なことから解説 […]
  • ゼロから始める企業法務(第20回/法務担当者の選考方法)2021年7月12日 ゼロから始める企業法務(第20回/法務担当者の選考方法) 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は法務担当者の選考方法(必要な力量の洗い出しとその見極め方等)について記事にしたいと思います。   「1人法務」から「複数法務」 […]
  • Q&Aで学ぶ契約書作成・審査の基礎 第3回 – 契約のスタイル:契約書末尾2021年7月1日 Q&Aで学ぶ契約書作成・審査の基礎 第3回 – 契約のスタイル:契約書末尾   今回は, 前回に引続き契約書のスタイルやそれに用いる用語などに関し解説します。順番から言えば, 今回は, 契約書の本文(具体的条項部分)のスタイル等の解説ですが, それについては解説することが多いので, 先に, 契約書末尾について解説します。 なお, 本Q&Aは, 全く新任の法務担当者(新卒者や法学部以外の出身者を含む)も読者として想定しているので, […]
  • 2021年7月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(35)-受領者への通知/データ・ポータビリティーの権利   今回は, ①管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, その個人データを開示(提供)した各受領者に通知すべき義務, および, ②データ主体のデータ・ポータビリティーの権利に関し解説します。      【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: […]
  • 2021年6月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(33)-アクセス権(2)   今回は前回解説したアクセス権に関し, 仮の事例ですが具体的事例でアクセス権への実際の対応方法について考えてみましょう。 なお, この事例は, 世界的情報プライバシー団体であるIAPP(The International Association of Privacy Professionals)の認定資格であるCIPP/E(Certified […]
to top