欧州が｢個人情報保護｣を強化する本質的理由 GDPRに続く新しい規則も用意している

ーーネット時代に、情報は国境を超える。欧州に住む個人が日本にいる友人とメールで情報交換した場合はどうなるのだろうか。メールサーバーには情報の行き来が記録されている。個人情報が「域外に出た」ことになって、GDPRに違反したことになる？

企業を想定した場合、ビジネスでメールを使う場合と個人が使う場合で判断が異なる。企業はいずれかのメールサービスのプロバイダーを選ぶことになるが、たとえばGメールを選んだ場合、グーグルは企業のためにデータを処理する。企業はグーグルとデータ処理に関わる契約を結ぶ必要があり、情報の行き来はGDPRの規制対象となる。

しかし、Gメールを個人的な情報のやり取りのために使っているのであれば、規制対象にはならない。

ただし、個人であっても不特定多数の人に域内の個人の情報を流すのであれば、問題となる。たとえば、ウェブサイトやフェイスブックのタイムラインに域内に住む人の情報をアップロードすることで不特定多数の人にその人の情報が発信されるとしよう。この場合はGDPRの対象になるので、該当する相手に「不特定多数の人が見る形で、あなたの個人情報を公開してもいいか」と聞いて、合意を得る必要がある。

「同意」をサービス提供と結びつけてはダメ

ーー域内ではGDPR施行の直前あたりから、多くの企業が、利用者に対しデータ処理・管理の同意を求めるメールを配信している。ウェブサイトにアクセスすると、「クッキー」情報の利用に同意を求められる。情報の利用について「同意するかどうか」を聞かれ、多くの利用者がサービスを継続して使うために、「同意」を選択したようだ。

これについては、若干の誤解があるようだ。同意が必要な場合と、必要ではない場合がある。たとえば、あるショッピングサイトからモノを買ったとき、サイト側や物流の企業などは利用者の名前や住所といった個人情報を処理・管理する必要がある。この場合、関連の個人情報の処理・管理に同意は必要ない。

しかし、企業側が購買情報を第三者に送り、これを分析しようとする場合、利用者の同意が必要となる。

この「同意」がないからといって、たとえばショッピングができなくなるというように、サービスの提供と結びつけることは禁じられている。同意は自由意思で与えられるもので、いつでも同意を取り消すことができるようになっているべきだ。

利用者のオンライン上の行動を追跡できる「クッキー」の取り扱いについてもそうだ。企業側はクッキーによる情報収集をしたいので、「クッキーの利用には同意しないが、サービスを利用する」という選択肢を設けないところが多い。