GDPR関連資格をとろう!QAで学ぶGDPRとCookie規制(65): ダイレクトマーケティング1
2022/10/01 情報セキュリティ, 個人情報保護法, 外国法
ダイレクトマーケティングでは, その対象となる個人にコンタクトするための情報(例:電話番号・電子メールアドレス), 興味・関心等の個人データが利用されるのでGDPRが適用されます。また, ePrivacy指令[1]等にも, ダイレクトマーケティングを規制する規定があります。そこで, 今回から3回に分けて, EUにおけるダイレクトマーケティングに関する規制について解説します。
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q3: 郵便によるダイレクトマーケティングに対する加盟国の規制とは? |
Q1: GDPRによるダイレクトマーケティングの規制は?
A1: 以下の通りです。
【処理制限請求権(異議申立権)】
GDPR上, 個人データが「ダイレクトマーケティング」の目的で処理(プロファイリングを含む)される場合, データ主体は, 当該処理に対し, いつでも, 処理制限請求権(異議申立権)を行使し, (i) ダイレクトマーケティング目的での処理の禁止(21(2)), または, (ii) 保存を含む処理の全面的禁止(21(1))を, 処理の開始前または開始後に行うことができるとされています。
この「ダイレクトマーケティング」の定義はGDPR上ありませんが, 例えば, 英国の「2018年データ保護法」(Data Protection Act 2018)の第122条5項の定義によれば, 「特定の個人に直接向けられた広告・マーケティング情報の提供(その手段の如何を問わない)」(the communication (by whatever means) of advertising or marketing material which is directed to particular individuals)を意味します。
GDPR上, ダイレクトマーケティングに直接言及した規定は, 上記の規定しかありませんが, 通常, ダイレクトマーケティングでは, その対象となる特定の個人にコンタクトするための情報(例:電話番号・電子メールアドレス), 興味・関心等の個人データが利用・処理されるのでGDPRの規定全般が適用されます。
【ダイレクトマーケティングに伴う個人データの処理の適法性の根拠】
GDPR上, 全ての個人データの処理に第6条または第9条(特別カテゴリーの個人データの処理:原則として明示的同意要)に定める処理の適法性の根拠が要求されます。
ePrivacy指令等で相手方ダイレクトマーケティング(DM)を行う者(以下「管理者」)が相手方その対象者(以下「相手方」)から事前にDMについて同意を得ることが義務付けられている場合にはその同意がGDPR上の個人データ処理の同意の要件(第22回Q2参照)をも満たす限り相手方その同意を個人データの処理の適法性の根拠とすることができます。
それ以外の場合は, 一般的には, 相手方(データ主体)の同意または「正当利益」(但しその正当利益よりもデータ主体の利益権利自由を優先すべき場合を除く)(6(1)(f))が相手方ダイレクトマーケティングに伴う個人データの処理の適法性の根拠となります。
【その他GDPRの規定の適用】
ダイレクトマーケティングに伴う個人データの処理には, 上記規定の他, GDPR上の情報提供義務, データ主体の権利行使への対応等に関する規定が適用され, 管理者は, これら規定を遵守しなければなりません。
Q2: ePrivacy指令第13条(未承諾通信)とは?
A2: 以下の通りです。[2]
(a) 事前同意(オプトイン)の原則
ダイレクトマーケティングを目的とした, 人の介在しない自動通話システム(automatic calling machines)(自動通話), FAXまたは「電子メール」(*1)の使用は, 相手方が事前に同意(*2)した場合のみ許されます(13(1))。
(*1)「電子メール」(electronic mail)は, 公衆通信ネットワークにより送信されるテキスト・音声または画像によるメッセージを意味し(2(h)), SMS, MMS等を含む。
(*2)この同意(オプトイン)を得るための文面の例:"We would like to contact you by email and SMS with details of other products and services that we think may interest you. Please tick the box below if you agree to receive this."(訳)「弊社からお客様のご関心に合うと思われる他の商品・サービスの情報をメールとSMSでお送りしたいと思います。これにご同意いただける場合下のボックスにチェックを入れて下さい。」
(b) 過去の販売に関連して得た電子メールアドレス等の例外
上記(a)にかかわらず, 管理者が, 製品・サービスの販売に関連して相手方からその連絡先情報(electronic contact details)(電子メールのアドレス等)を入手した場合には, 相手方が最初から拒否した場合を除き, 当該連絡先情報等の取得時およびその後の電子メール送信の都度相手方に明示的に拒否の機会を与える場合に限り(*), 自社の類似製品・サービスのダイレクトマーケティングに当該連絡先情報を使用できます(13(2))。
(*)この拒否の機会(オプトアウト)の機会の付与は, 通常, 相手方の連絡先情報を得る際に, 相手方がオプトアウトするためのチェックボックスを表示し, そのチェックがなされない限り相手方の連絡先情報がマーケティングに利用されるとの表示をすることにより行われる。
(例文)"We would like to contact you by email and text message with details of other products and services we think will interest you. If you do not want to receive this, please tick the box below." (訳)「弊社からお客様のご関心に合うと思われる他の商品・サービスの情報をメールとSMSでお送りしたいと思います。これを拒否される場合は下のボックスにチェックを入れて下さい。」
(c) 送信元偽装等の禁止
如何なる場合も, ダイレクトマーケティングの目的で, 通信の送信元(管理者)の身元を偽りもしくは隠蔽しまたは受信者(相手方)が当該通信の停止要求を送信できる有効なアドレスがない電子メールを送信することは禁止されます(13(4))。
(d) 法人への適用
法人には上記の内(c)のみ適用されます。但し, EU加盟国は, EU法および国内法の範囲内で未承諾通信に関する法人の正当な利益を保護しなければなりません。(13(5))。
Q3: 郵便によるダイレクトマーケティングに対する加盟国の規制とは?
A3:以下の通りです。
一部加盟国(オーストリア, デンマーク, オランダ等)では, 管理者は, 管理者が相手方から事前同意(オプトイン)を得ていない限り, DM郵便発送前に, 該当する加盟国の事前拒否(オプトアウト)登録(national opt-out registers)(以下「中央オプトアウト登録」)に対するクリアランス(clearance, cleanse)を実施しなければなりません。
管理者は, この「中央オプトアウト登録」でクリアランスした結果, 相手方がオプトアウト登録していないことを確認した後でなければに関連して郵便を発送できません。
この「中央オプトアウト登録」は, 個人が送信者を問わず全てのダイレクトマーケティングの受信拒否を登録できる全国レベルのオプトアウト登録です。多くの場合, 電子メール, 電話, Fax等, 通信手段ごとの登録です。一般的に, "Robinson List"または"Preference Service"と呼ばれます。
一部の加盟国ではRobinson Listのクリアランスが, 法的義務ではないものの, 業界の自主規制として行われています。
例えば, 英国には郵便DM用のMail Preference Service(MPS)がありますが, このクリアランスは英国のData & Marketing Association の自主規制です。[3]
Q5: 電話によるダイレクトマーケティングの規制は?
A5: 以下の通りです。
(1). 人による電話マーケティング(Telephone marketing)
前記(Q2(a))の通り, ePrivacy指令上, 人の介在しない自動通話システム(automatic calling machines)(自動通話)を利用したダイレクトマーケティングを行うには, 原則として相手方の事前同意が必要です。しかし, 同指令上, 人による電話ダイレクトマーケティング(person-to-person telephone marketing)については, オプトインベース(事前同意なければ禁止)とオプトアウトベース(事前または事後の拒否ある場合のみ禁止)のいずれかの選択肢が加盟国に与えられています(13(3))。
【各加盟国の国内法令】
ほとんどの加盟国において, 電話マーケティングに関する中央オプトアウト登録(national opt-out registers)制度があます。
一部の加盟国(例:英国[4],アイルランド)では, オプトアウトベース(事前または事後の拒否ある場合のみ禁止)で電話マーケティングを許しています。しかし, この場合, 通常, 管理者に対して, 該当の中央オプトアウト登録に対する事前クリアランスの実施が義務付けられています。
一部加盟国では, 電話マーケティングを行う企業が, 電話の度に, 相手方に, 中央オプトアウト登録を無償で利用できる旨を説明することを義務付けています。
一部加盟国では, オプトイン(事前同意)を要件としています。
(2). 人の介在しない自動通話システム(automatic calling machines)(自動通話)
ePrivacy指令上, 管理者は, 人の介在しない自動通話システム(automatic calling machines)(自動通話)を利用して電話に関連してを行う場合, 事前に相手方の事前同意を得なければなりません(13(1))。
この「自動電話システム」(automated calling systems)とは, 相手方の電話番号を自動的にダイアルし相手方が電話に出た後, 予め録音されたメッセージを再生するシステムを意味します。
【加盟国国内法による追加義務】
一部加盟国(例:ポーランド, 英国等)では, 自動電話による広告メッセージに発信者の身元と連絡先の情報を含めることが義務付けられています。
(3) 企業に対する電話によるマーケティング
企業(法人)に対する(Business to Business: B2B)電話マーケティングの扱いと許容性は加盟国により異なります
(13(5))。
一部加盟国は相手方が個人であるか企業であるかを問わず同じ扱いをしています。一方, 他の加盟国では, 相手方が企業の場合は, 相手方が個人である場合よりも緩い制限を適用しています。[5]
しかし, 相手方が企業(法人)であってもマーケティングのために相手方企業の社員(個人)の連絡先情報その他個人データを処理する場合はGDPR上の全ての義務が課されます。
従って, 相手先企業の社員の連絡先情報を利用して電話マーケティングをする場合, そもそも, GDPR第6条に定める処理の適法性の根拠(同意, 正当理由等)がなければなりません。
加盟国において, 企業を相手方としてオプトアウトベース(事前または事後の拒否ある場合のみ禁止)で電話マーケティングすることが許されていても, 事前に自社内のオプトアウトリストおよび中央オプトアウト登録に対して相手先のクリアランスを行わなければならない場合があます。(例)英国では, Corporate Telephone Preference Serviceに対する事前クリアランスが義務付けられています。
今回はここまでです。
【筆者の最近の個人情報保護関連記事・書籍】
『中国「個人情報越境処理保護認証規範」の解説』2022/8/22
『9月1日施行の中国「データ越境移転安全評価弁法」の解説』2022/8/22
「改正電気通信事業法によるCookieに関する規律の概要と日米欧中比較」2022/6/23
「香港からの個人データ越境移転モデル契約条項(改訂版)の概要・全文訳」2022/6/6, 訳PDF
“China Data and Personal Information Laws” 2022/1/31
「中国におけるセキュリティ脆弱性情報の取扱い規制('21年9月施行)」2022/01/05
『中国「ネットワークデータ安全管理条例(意見募集稿)」の公表とその概要』2021/11/18
「中国個人情報保護法への対応事項リストと国外提供規制」2021/09/24
「中国データ・情報関連法」 2021/9/18
「改正個人情報保護法アップデート(ガイドラインの公表)」2021/08/10
「中国データセキュリティ法の成立とその概要」2021/06/18
「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上)・ GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下)・ GDPRとCookie規制」 2019年11月
[6]
【注】
[1] 【ePrivacy指令】 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)
[2] 【ePrivacy指令第13条(未承諾通信)の各加盟国実施状況】 (参考) Fieldfisher "EU E-marketing requirements" 01/04/2020
[3] 【英国のMail Preference Service】 Mail Preference Service "What is mps?"
[4] 【英国のTelephone Preference Service】 Telephone Preference Service
[5] (参考) Fieldfisher "EU E-marketing requirements" 01/04/2020
==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 |
関連コンテンツ
新着情報
- 解説動画
- 斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
- 斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 終了
- 視聴時間1時間8分
- 業務効率化
- 鈴与の契約書管理 公式資料ダウンロード
- 解説動画
- 岡 伸夫弁護士
- 【無料】監査等委員会設置会社への移行手続きの検討 (最近の法令・他社動向等を踏まえて)
- 終了
- 視聴時間57分
- セミナー
- 茂木 翔 弁護士(弁護士法人GVA法律事務所/第一東京弁護士会所属)
- 【オンライン】2024年Web3重要法令改正等の確認
- 終了
- 2024/12/06
- 12:00~13:00
- ニュース
- 顧客データの他社移行拒否で三菱商事子会社に排除措置命令2025.1.8
- NEW
- 建設作業員らの個人情報を管理するクラウドサービスの利用企業が他社に乗り換えるのを妨害したとして...
- 業務効率化
- Legaledge公式資料ダウンロード
- まとめ
- 株主提案の手続きと対応 まとめ2024.4.10
- 今年もまもなく定時株主総会の季節がやってきます。多くの企業にとってこの定時株主総会を問題無く無...
- 弁護士
- 目瀬 健太弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- 弁護士
- 福丸 智温弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号