電力使用量データの収集における不適切な同意取得とデータ保存期間の設定に対し仏監督機関が警告


電力使用量データの収集における不適切な同意取得とデータ保存期間の設定に対しフランス監督機関が警告

フランス監督機関CNILは、フランスの電力会社EDFとガス・エネルギー会社ENGIEに対し、スマートメーターによる契約者の電力使用量データの収集における同意取得や、契約者の個人データの保存期間の設定が不適切だったとして警告を発した。両社は、警告の通知から3ヶ月以内に、警告書で示された是正処置の実施とCNILへの報告が求められる。

両社は、LINKYとよばれるスマートメーターにより、契約者の電力使用量データを収集している。LINKYは、配電ネットワーク会社のENEDISが設置し、同社を通じてEDFとENGIEは契約者の電力使用量データを取得している。

1 同意取得の方法について
EDFおよびENGIEは、LINKYから契約者の1日あたりの電力使用量、30分あたりの電力使用量および毎日の最大使用量のデータを取得する。EDF/ENGIEの同意取得画面(注:同社ウェブページ上に設置されたものと思われる)では、単一のチェックボックスをクリックすることにより、上記3種類のデータの取得に対する契約者の同意が一括して与えられるようになっていた。

フランスのエネルギーコードによると、配電ネットワーク会社(ENEDIS)が、電力使用量の管理のために契約者の日次使用量データを取得することには同意は不要である。その際、更に粒度の小さいデータ(1時間または30分ごと)は取得しない。一方、日次データより粒度の小さいデータをEDF/ENGIEが取得する(ENEDISがEDF/ENGIEに第三者提供する)ためには、契約者からの同意取得が必要である。EU一般データ保護規則(GDPR)では、同意は特定の目的ごとに明示的に与えられなければならないが、EDF/ENGIEのページでは1日あたりの電力使用量、30分ごとの電力使用量および電力使用に関するアドバイスの3つの目的に対する同意が一つのチェックボックスで与えられるようになっていたことが、同意取得の方法として不適切であるとCNILは指摘した。

2 個人データの保存期間について
EDFは電力使用量データを契約終了後5年間保存していた。またENGIEは、顧客の氏名、住所、会計書類、請求書、毎月電力使用量および契約データを8年間保存していた。フランス消費者法(Code de la consommation)L-224-11では、電力およびガス会社は最後に計器を読み取った時点から14ヶ月以上前の電力やガスの使用量を請求できないとしており、同法に照らし合わせると両社のデータ保存期間は過剰であるとCNILは判断した。

3 電力使用量データの個人データ性について
EDFに対する警告の決定および公表に関する審議書MEDP-2020-001において、電力使用量データは個人データに該当するとしている。継続的に電力使用データを管理することで、契約者個人の私生活(起床時間、就寝時間、不在期間、宿泊施設に所在する人数等)に関する情報を明らかにできることが理由である。

4 コメント
GDPRの適法根拠として同意を適用する場合、複数の処理目的について一括して同意させることは、有効な同意の要件を満たさない。データ主体は、処理目的ごとに自発的かつ明示的に同意を与えられるような手段が提供されなければならない。また、個人データの取得にあたっては、データそのものの性質ではなく、処理目的との関係において必要かつ最小限のものであるかを基準に、取得するデータの内容や粒度を決定すべきである。保存期間についても、処理目的を考慮して必要最小限の期間を設定しなければならない。法律上または社会通念上必要とされる期間より長く個人データを保存する場合には、処理目的、適法根拠、保存期間をプライバシーノーティスに明記してデータ主体に通知するとともに、必要に応じデータ主体の同意を取得すべきである。

EDFに対する警告決定書
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000041552962&fastReqId=1636313635&fastPos=2
ENGIEに対する警告決定書
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000041552865&fastReqId=381338335&fastPos=2

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト