1 EU一般データ保護規則
EU一般データ保護規則(General Data Protection Regulation)は、EU領域内の自然人の個人データの取扱いを規制する規則であり、2018年5月25日に施行されました。

2 適用範囲
EU一般データ保護規則は次に掲げる場合に適用されます。

①EU領域内に位置する拠点の活動として個人データが処理される場合(個人データがEU領域内で処理されるか否かは問わない)

②EU領域内の自然人の個人データが処理される場合であって、物品又はサービスが当該自然人に提供される場合(個人データ管理者(controller)又は個人データ処理者(processor)がEU領域内に拠点を有するか否か、及び当該提供が有償か否かは問わない)

③EU領域内の自然人の個人データが処理される場合であって、当該データ処理がEU領域内での行動の監視に関する場合(個人データ管理者(controller)又は個人データ処理者(processor)がEU領域内に拠点を有するか否かは問わない)

そのため、EU領域内に支店・営業所を持たない日本企業であっても多くの場合でEU一般データ保護規則の規制を受けることになります。

3 個人データ処理合法性の要件(データ主体の同意)
日本の個人情報保護法では、基本的に、データ主体の同意を得なくとも、利用目的を公表しているか、データ主体に利用目的を個別に通知している限り、個人データを利用することが可能です。

これに対し、EU一般データ保護規則では、基本的に、データ主体に利用目的を示した上、当該データ主体から当該利用目的での個人データ処理の同意を得ることが個人データ処理が合法であることの要件になります。このようにデータ主体から同意(オプトイン)を得なければ個人データを処理できないことが、EU一般データ保護規則の特徴であり、EU一般データ保護規則に規制される企業の活動に大きな影響を与えています。

4 ウェブサービスに関する子供の同意(年齢制限)
EU一般データ保護規則は、「information society services」の提供に関し、サービス受領者が16歳未満の子供である場合には、当該子供の親権者から同意(前項で説明した個人データの処理の同意)を得ない限り、子供の個人データを処理するのは違法であると規定しています。また、個人データ管理者は、親権者の同意が真正であることを確認するために技術的に可能な範囲で合理的努力をする義務を負います。

「information society services」は、サービス受領者の個別の要求に応じて、遠隔で、電子的に提供される通常は有償のサービスと定義されています。有料ウェブサービスは基本的に「information society services」に該当することになります。

多くのEU向けSNSサービスが、EU一般データ保護規則の年齢制限規制を遵守するために、サービス受領者の年齢制限を16歳に設定しています。

5 日本の個人情報保護法における同意の年齢規制
日本の個人情報保護法では、個人データを取り扱う業者が第三者に個人データを引き渡す場合(第三者への引渡しについてのオプトアウト制度を適用した場合を除く)、外国の業者(引渡者である日本法人の親会社、子会社又は関連会社である外国法人を含む)に個人データを引き渡す場合、個人データを所定の目的以外で利用する場合、及び要配慮個人情報(人種、信条、社会的身分、病歴、犯罪の経歴等の偏見・差別を生じさせるおそれの高い個人情報)を収集する場合にはデータ主体の同意が必要です。法律には明記されていませんが、判断能力の乏しい子供がこれらの同意をする際には保護者の許可が必要であると考えられています。何歳であれば適切な判断をできるとみなされるかは、当該個人データの属性及び利用目的によって異なると考えられます。個人情報保護委員会は、同意者が12~15歳であれば個人情報保護法上の同意は有効である旨の意見を提示しています。

日本企業が国内向けにウェブサービスを提供する限りでは、データ主体から個人情報保護法上の同意を得ることが不要なように個人データを取り扱うことが可能であり、サービス受領者の年齢制限を設定することは必須ではありません。

※この記事は一般的な情報、執筆者個人の見解等の提供を目的とするものであり、創英国際特許法律事務所としての法的アドバイス又は公式見解ではありません。