【例2】顧客のサイト訪問履歴に基づきその嗜好・生活様式等のプロファイリングをすることは、それが契約上規定されていたとしても契約履行のため必要とは言えない。従って、「契約に関連した必要性」の根拠に基づき行うことはできない(同意等他の根拠によらなければならない)。[なおプロファイリングに関してはQ11も参照]

複数のサービスが一括して(bundling)提供される場合は、その個々のサービスごとに「必要性」が満たされなければならない(G36, 37)。

ある処理が、契約履行に必要であるとしても、その後の処理に必要とは限らない。但し、商品違いや引渡遅延等への対応のための個人データの処理は、契約履行に必要なものとして「契約に関連した必要性」の根拠に基づき行うことができる(G38)。

【例3】 オンラインで購入した商品の色が注文と異なるため顧客が販売会社に連絡し、その会社がこれに対応するため行う当該顧客の個人データの処理は、契約履行に必要なものとして「契約に関連した必要性」の根拠に基づき行うことができる。

Q6:契約終了後の処理を「契約に関連した必要性」に基づき行うことは?

A6: ガイドラインで以下の通り説明されています。

契約終了後は原則として契約履行のため必要とは言えなくなるから個人データの処理を終了しなければならない(G41)。

契約終了後に他の根拠に基づき処理を行うには、その処理実行前(例:個人データ取得の際)に当該他の根拠(に基づき処理すること)についてデータ主体に情報提供(GDPR 13, 14)されていなければならない(G43, 44)。

【例4】　オンラインサービス利用者との契約が終了し未払料金・契約終了後の権利・義務も残っていない場合は、そのユーザの利用履歴は消去しなければならない。

但し、加盟国の国内法上、一定期間一定データを会計処理の目的で保存しなければならない場合は、そのことをデータ主体に事前に情報提供し、「管理者が負う法的義務を遵守するため処理が必要なこと」(6(1)(c))を根拠として保存することができる。

Q7:「契約締結前にデータ主体の求めに応じた手続を行うため処理が必要であること」とは?

A7: ガイドラインで以下の通り説明されています。

「データ主体の求めに応じて」であるから、データ主体が求めていない迷惑メール等による広告(unsolicited marketing)をするための処理はこの根拠に基づき行うことはできない(G47)。

【例5】　データ主体が自分のいる地域で管理者がサービスを提供しているかを確認するため自宅郵便番号(postal code)を提供[入力]する場合、管理者サイトによる郵便番号データの処理は「データ主体の求めに応じて」行うものと言えるから、「契約に関連した必要性」の根拠に基づき行うことができる。

【例6】　銀行が、加盟国の国内法に従い銀行取引申込者に身分証明データの提供を求める場合は、「データ主体の求めに応じて」行うのではないからこの根拠に基づき行うことはできない。但し、この処理は「管理者が負う法的義務を遵守するため処理が必要なこと」(6(1)(c))を根拠として行うことができる。

Q8：サービス改善のための処理は?

A8: ガイドラインで以下の通り説明されています。

サービスの改善・開発(improvement, development)のための処理は、その処理をしなければサービス提供ができないわけではない。従って、 「契約に関連した必要性」の根拠に基づき行うことはできない。但し、データ主体の同意、正当利益等の根拠に基づき行うことはできる(G48)。

Q9:不正行為の発見のための処理は?

A9: ガイドラインで以下の通り説明されています。

不正行為防止(fraud prevention)のためのデータ主体の監視(monitoring)・プロファイリングは 「契約に関連した必要性」の根拠に基づき行うことはできない。但し、正当利益・法的義務履行等の根拠に基づき行うことができる可能性はある(G50)。

Q10：オンライン行動履歴に基づく広告は?

A10: ガイドラインで以下の通り説明されています。

オンライン行動履歴に基づく広告(online behavioral advertising)(OBA)、ターゲティング広告(targeting advertisement)のためのトラッキング、プロファイリングその他の処理は、契約履行・契約前手続に必要とは言えない。従って、「契約に関連した必要性」の根拠に基づき行うことはできない(G51～53)。

Cookie等を利用する場合はePrivacy指令(5(3))に基づく加盟国国内法に従い同意を得なければ行うことができない(G55, 56)。

Q11：コンテンツのパーソナライゼーションのための処理は?

A11: ガイドラインで以下の通り説明されています。

オンライン上でコンテンツを提供するサービスにおいて、そのコンテンツを個々のユーザの興味・関心等に合わせて提供すること(パーソナライゼーション：personalization)がそのサービスの本質的な(intrinsic)ものである場合、言い換えれば、そのパーソナライゼーションがなければサービスを提供できない場合(に限り)、その処理は契約履行に必要と言え、「契約に関連した必要性」の根拠に基づき行うことができる。

【例6】　ユーザーの興味・関心に基づき、様々なニュースサイトのコンテンツを収集・集約して公開するニュースアグリゲーションサービスでは、(そのパーソナライゼーションがなければサービスを提供できないから)その処理は契約履行に必要と言え、「契約に関連した必要性」の根拠に基づき行うことができる可能性がある。

【例7】　ホテル検索サービスにおいて、ユーザの過去のホテル予約履歴に基づきそのユーザのプロファイリングを作成し、ユーザが再度その検索サイトを訪問した際に特定のホテルを推奨(recommend)することは、契約履行に必要とは言えないから「契約に関連した必要性」の根拠に基づき行うことはできない。

【例8】　オンラインマーケットプレイス(online marketplace)において、ユーザの過去の閲覧履歴に基づいて特定の商品を推奨すること(personalized product suggestion)は、契約履行に必要とは言えないから「契約に関連した必要性」の根拠に基づき行うことはできない。

今回は以上です。次回は、同意、正当利益、契約に関連した必要性以外の処理の適法性について解説します。

【著者の最近の個人情報保護関連書籍】

NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】

[1]【オンラインサービス提供に関連した「契約に関連した必要性」のガイドライン】 "Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects" Version 2.0(正式版), 8 October 2019

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録