英ICO、子供に関するGDPRガイダンス公表


イギリスの個人データ保護監督機関ICOは、12月21日、子供に関するGDPR適用のガイダンス案(” Consultation: Children and the GDPR guidance”)を公表し、パブリックコメントの募集を開始した。

本ガイダンス案の対象となる子供とは、18歳未満のデータ主体。ポイントは以下のとおりで、これらの遵守状況に関するチェックリストも付属している。とくに子供に対するオンラインサービスを提供する事業者は必読である。

子供は個人データ処理に伴うリスクに対する意識が大人よりも低いので、特別な保護を必要とする。
・ 子供の保護を考慮してITシステムと業務プロセスを設計しなければならない。
・ 子供の個人データを処理する場合、とくに「公正性」(fairness)に留意すべきである。
・ 子供の個人データを処理する場合、同意以外の適法根拠を援用するほうが、子供を保護する観点からより適する場合がある。
・ 同意を適法根拠として子供に直接オンラインサービスを提供する場合、(イギリスでは)13歳以上の子供でなければ一人で同意を与えることはできない。対象者の年齢を確認することが必要であり、対象となる子供が13歳未満の場合、オンラインサービスに伴う子供の個人データ処理については、子供への予防的サービス又はカウンセリングサービス以外の場合、親権者の同意が必要である。管理者は、親権者が真正であるかどうかを検証するために、利用できる技術を利用して合理的な努力を払わなければならない。
・ 契約履行上の必要性を適法根拠とする場合、子供がそのような契約を締結する権利能力を持っているか、契約の内容を理解できるかどうかを確認しなければならない。
・ マーケティング目的で子供のデータを処理し、又は、子供についてユーザプロファイルを作成する場合には、特別な保護が必要である。
・ 原則として子供に関して、自動化された処理のみに基づいて法的効果又はこれと同等の効果を及ぼすような意思決定をしてはならない。
・ 子供に対するプライバシーノーティスはわかりやすく、対象とする子供の年齢に応じて書き、自分の個人データ処理がどのような結果をもたらすか、自分がどのような権利を持っているかについて、子供が理解できるようにしなければならない。子供が理解できなければ、情報を得た上での同意とはならず、有効な同意ではない。
・ 親権者の同意を必要とする場合、子供と親権者それぞれに対して別々のプライバシーノーティスを用意することを推奨する。
・ 子供は大人と同様のデータ主体としての権利を持つ。したがって、マーケティング目的の個人データ処理について子供が異議権を行使した場合、直ちにそのような処理を中止しなければならない。
・ 親権者は子供のデータ主体としての権利を子供に代わって行使できる。
・ 子供の時点で個人データ処理に同意した場合、データ処理の内容について完全に理解していない場合があるので、忘れられる権利は特に重要である。

https://ico.org.uk/media/about-the-ico/consultations/2172913/children-and-the-gdpr-consultation-guidance-20171221.pdf

関連記事