EDPB、同意ガイドラインを改訂


2018年旧ガイドラインの一部改訂

EU加盟国のデータ保護監督当局の代表により構成される欧州データ保護委員会(European Data Protection Board、以下「EDPB」)は、5月4日、GDPRが規定するデータ主体の同意に関するガイドラインを改訂し、公表した。改訂ガイドラインの全文は、以下のURLで閲覧できる。
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

改訂ガイドラインは、GDPR施行前の旧EUデータ保護指令第29条を根拠として設立され、EDPBの前身だった29条データ保護作業部会(Article 29 Data Protection Working Party、以下「WP29」)が2018年に公表した旧ガイドライン最終版(Article 29 Working Party Guidelines on consent under Regulation 2016/679, WP259 rev.01、以下「旧同意ガイドライン」)を一部改訂するもの。旧ガイドラインの全文は、以下のURLで閲覧できる。
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

同意と取引条件、曖昧でない意思表示が重要な改訂ポイント

改訂ガイドライン、基本的に旧ガイドラインをそのまま維持しつつ、以下の2点について大きな変更があった。

  • 同意を取引条件とすることの是非、例えばクッキー・ウォールにおいて表明された同意の有効性
  • 曖昧でない意思表示とはどういうことか、例えばウェブサイトをスクローリングすることが有効な同意の意思表示といえるかどうか

これ以外の部分については、旧ガイドラインが変更されず、そのまま踏襲されている。

以下、上記2点について、改訂ガイドラインのポイントを解説する。

同意と取引条件との関係

サービス提供以外の追加目的のための個人データ利用に同意しない場合、当該サービスを利用しなくても、他の事業者が提供する同様のサービスを利用することができるからといって、利用者には選択肢が与えられ、同意は自由に与えられた(freely given)ものであるとは言えない。同意が自由に与えられたと言えるためには、同意の有無がサービス内容および機能を左右することがあってはならない。

Cookieの設定について承諾するボタンを押さなければその他のコンテンツへのアクセスを拒否する実装、いわゆる「クッキー・ウォール」は、純粋な選択を利用者に与えておらず、そのような状況での同意は自由に与えられたものとは言えない。

曖昧でない意思表示

いかなる状況においても、ウェブページを引き続き閲覧するためにスクローリングしたりスワイプしたりする動作をもって、同意有効要件の一つである「明確で肯定的な行為」(a clear and affirmative action)と言うことはできない。さらに、このような同意取得方法においては、利用者が同様に簡単な方法で同意を撤回することが困難であり、この点においても同意の有効要件を満たしていない。

 

(了)

関連記事