オランダAP、銀行口座取引履歴からの推論による広告パーソナライズは違法と警告


オランダデータ保護監督機関(AP)、銀行口座取引履歴からの推論による広告パーソナライズは違法と警告

オランダのデータ保護監督機関 Autoriteit Persoonsgegevens(以下「AP」)は、7月3日、公式Webサイトにおいて、銀行が顧客の銀行口座取引履歴からの推論により、別の金融サービスを勧誘する広告をカスタマイズしてならないと警告した。

APによるとここ数週間の間に、多くの銀行顧客からこのような取引データの利用に対して懸念の声がAPに寄せられ、APは、オランダ銀行協会(NVB)に対して、金融取引データの他目的利用を禁止するルールを示した。

銀行口座取引における個人データ処理の適法根拠は、口座所有者と銀行との間の契約の履行のために必要であることを適法根拠とするものであるが、このような契約履行の不可欠な内容として、取引データからの推論によるマーケティングは含まれていないと考えるのが常識的であろう。EU一般データ保護規則(GDPR)は、個人データは特定された目的のためにのみ処理されるべきこと、特定された目的と相容れない処理は許されないことを規定する。今回の場合、銀行は、そのようなマーケティング目的の個人データ処理について改めて口座所有者に情報提供したうえで同意を取得することが必要であろう。

さらに、取引履歴から表示すべき広告メッセージを推論する処理が自動的なデータ処理のみによって行われ、これにより実質的に口座所有者が利用できる金融サービスの範囲に影響を及ぼす場合には、データ主体が自動処理の結果に服することを拒否する権利を規定したGDPR22条の適用についても検討する必要があると考えられる。

https://autoriteitpersoonsgegevens.nl/nl/nieuws/banken-mogen-betaalgegevens-niet-zomaar-gebruiken-voor-reclame

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト