GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制(38)-自動意思決定ガイドライン
2021/10/28   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

GDPRは, データ主体に対し, プロファイリングを含む個人データの自動意思決定に服さない権利を与えており(22), 第36回Q6,Q7でその概要を解説しました。

この自動意思決定に服さない権利およびプロファイリング(4(4))については, WP29が2017年10月3日に採択し2018年2月6日に修正した“Guidelines on Automated individual decision-making and Profiling”が公表されています(「自動意思決定・プロファイリングガイドライン」)(日本の個人情報保護委員会(PPC)の英文併記和訳はこちら)。

今回はこの「自動意思決定・プロファイリングガイドライン」(以下「本ガイドライン」)の概要について解説します。

なお, 本稿において, (  )内の数字は条文番号であり, [  ]内の内容は筆者による補足・追記です。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1:ガイドラインの基本的認識と目的は? Q2: 「プロファイリング」／「自動意思決定」の意味・違いは? Q3：プロファイリングの適法性根拠は? Q4:データ主体への通知は? Q5：自動処理のみに基づく決定に服さない権利とは?

 

Q1:ガイドラインの基本的認識と目的は?

A1: 本ガイドラインには要旨以下の通り記載されています。

インターネット上およびIoT機器からの個人データ取得およびデータ相互間の関連付けが広範かつ容易に可能となったこと, ビッグデータ分析, 人工知能, 機械学習等が進展したこと等により, 個人の性格・行動・関心・習慣等の判断・分析・予測等のプロファイリングおよび自動意思決定(automated decision-making)が容易になった。これらには経済社会的利点もある。

しかし, プロファイリングおよび自動意思決定は, 個人を特定のカテゴリーに固定しその選択の自由を奪い, また, 場合によっては不当な差別につながるおそれがある等, 個人の権利自由に重大なリスクをもたらす可能性がある。

本ガイドラインの目的は, そのようなプロファイリングおよび自動意思決定に関し, GDPRの規定内容を明確にすることである。

 

Q2: 「プロファイリング」／「自動意思決定」の意味・違いは?

A2: 本ガイドラインでは以下の通り説明されています。

①「プロファイリング」：「プロファイリング」とは, 個人に関する一定の事項(業務遂行能力／経済状態／健康／個人的嗜好／興味関心／信頼性／行動／位置・移動等)を評価(evaluate)または分析・予測(analyse or predict)するために, 個人データを利用して行われる全ての形態の自動処理(automated processing)[主にコンピュータによるデータ処理]を意味する(4(4))。

②「自動意思決定」：「自動意思決定」(automated decision-making)とは, 個人データの自動処理(automated processing) [主にコンピュータによるデータ処理]によりそのデータ主体に対して管理者が何らかの判断・意思決定をすることを意味する。

自動意思決定は, プロファイリングとは別の概念である。「自動意思決定」にはプロファイリングを伴わない場合もある。(例)監視カメラが記録したスピード違反の証拠のみに基づき罰金決定。一方, プロファイリングを伴う場合もある。(例)スピード違反者の運転傾向(過去の違反歴等)に基づき, 罰金額決定。

 

Q3：プロファイリングの適法性根拠は?

A3：プロファイリングも個人データの処理の一種なので, 他の個人データの処理と同様, それを適法に行う根拠が必要で(6(1)), 本ガイドラインには以下のように説明されています。

この適法性の根拠として一般的なものとしては, データ主体の同意(6(1)(a))の他, 処理が管理者または第三者の得ようとする「正当利益(legitimate interest)」(6(1)(f))がある。

この管理者等の正当利益については, それとデータ主体の権利・自由とを比較衡量し, データ主体の権利・自由を管理者等の正当利益より優先させるべき場合には, 管理者等の正当利益をそのプロファイリングを行う適法性の根拠とすることはできない。この比較衡量においては特に以下の事項を重視しなければならない。

-プロファイルの詳細さ[マイナス要素]

-プロファイルの網羅性(comprehensiveness)[マイナス要素]

-プロファイリングの結果がデータ主体に与える影響の内容・度合[マイナス要素]

-プロファイリングの公平性, 差別のないことおよび正確性を確保するための措置[プラス要素]

 

Q4:データ主体への通知は?

A4:管理者は, プロファイリングを含め, 個人データを自動意思決定に用いる場合は, ①自動意思決定を行うこと, ②自動意思決定の処理のロジック, および, ③自動意思決定の意味および予想される結果に関する, 意味ある(meaningful)情報を, 次の時期に, データ主体に情報提供しなければなりません(13(2)(f).14(2)(g))。

(i)その個人データをデータ主体から直接取得する場合はその取得時に(13(1))

(ii)その他のルートから間接取得する場合は取得後所定期間(遅くとも1か月以内)内に(14(3))

自動意思決定の「処理のロジック」についての意味ある(meaningful)情報：複雑または技術的な処理プロセスの説明ではなく, データ主体が理解できる決定の基準・考慮要素等である。(例)クレジット・スコアリングを用いるローン審査の場合は, ローン可否決定のため考慮される主なデータ(支払履歴, 不正行為, 破産情報等)等を情報提供すべきである。

 

Q5：自動処理のみに基づく決定に服さない権利とは?

A5:以下において, GDPRの規定内容を再確認し, その上で, 本ガイドラインにある説明を示します。

【GDPRの規定内容】データ主体は, 個人データの自動処理のみに基づく決定(decision based solely on automated processing)であって, データ主体に対する法的効果またはデータ主体に法的効果と同様の重大な影響を及ぼす(similarly significantly affects)処理(以下「完全自動意思決定」)に服さない権利を有する(22(１))。

【「自動処理のみに基づいた決定」(完全自動意思決定)の意味】

(a)「自動処理のみに基づく」決定：その決定プロセスに人間が関与しない決定を意味する。(例)ネットワークを通じた借入申込, 求職等に対する人の判断を介しないソフトウェアによる判断等が考えられる。

人間が自動処理の結果を踏まえ, 他の要素も考慮して最終決定する場合は「自動処理のみに基づく」決定には該当せず, データ主体による拒否の対象にはならない。但し, 人間の関与が形式的な場合は該当し拒否の対象となる。(例)日常的に自動処理結果をそのまま採用。関与する者に決定する権限・能力がない場合。

(b)「法的効果またはデータ主体に法的効果と同様の重大な影響を及ぼす場合」：「法的効果」(legal effects)とは, 処理結果が個人の法的権利または契約上の権利・地位に影響を及ぼすことを意味する。(例)児童手当の支給・不支給, 入国許可・不許可。

「法的効果と同様の重大な影響を及ぼす場合」とは, その影響が法的効果と同等であることを意味する。極端な例は, その決定がその個人に対する差別または排除につながる場合である。その影響は, 有利なものか, 不利なものかを問わない。(例)特定地域の居住者であることに基づくクレジットカードの与信枠の差。

【「自動処理のみに基づいた決定」(完全自動意思決定)を拒否できない場合】

以下の場合, データ主体は, 自動処理のみに基づいた決定であってもこれを拒否できない(22(2))。

(a)自動意思決定がデータ主体および管理者間の契約締結または履行に必要な場合

-  但し, この必要性は, プライバシー侵害の可能性・程度がより低い他の目的達成手段がない場合でなければ認められず, かつ, 管理者はそのことを証明できなければならない。

(b)データ主体が明白な(explicit)同意をした場合

-  この同意は, データ主体の積極的行動による意思表示では不十分で, 言語による明白な(explicit)意思の表明(statement)により同意の意思を確認しなければならない。

 

Q6：データ主体が完全自動意思決定を拒否できない場合は何もしなくていい?

A6:いいえ。データ主体が自動処理のみに基づいた決定を拒否できない場合であっても, 管理者は, データ主体の権利・自由および正当利益を保護するための適切な措置を講じる義務を負っています(22(3))。

(適切な措置)最低限, 人間の関与を請求する権利, データ主体の見解を表明する権利, 自動意思決定を争う権利の付与。

(人間の関与)適切な決定権限を有する者に行わせること, および, その人間が判断する際, データ主体が提供する情報を含め全ての関連情報を十分に考慮することが必要である。その他, 管理者は, 自動意思決定に用いるデータおよび自動意思決定プロセスに誤りまたは偏りがないか, また, その正確性と妥当性を適切にチェックしなければならない。

 

 Q7:自動処理のデータ保護影響評価(DPIA)とは?

A7:プロファイリングを含め, 自動処理(自動処理のみに基づいた決定に限られない)により, 系統的(systematic)かつ広範囲な評価に基づき, 法的効果または同様の重大な影響を生じさせる決定を行う場合, データ保護影響評価が要求される(35(3))ことです。

 

今回はここまでです。

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

【筆者の最近の個人情報保護関連書籍】

NEW!!　「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10

「中国データセキュリティ法の成立とその概要」2021/06/18

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (下) - GDPRとCookie規制」 2019年11月

^[1]

 

【注】

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP  (International Association of Privacy Professionals) 会員,CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/