現状の個人情報保護法における同意取得が必要な場面はどのような時でしょうか？

実は、個人情報保護法の明文上で記載されている場面は限られているんですね。 まず、第18条第1項の「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」とされています。それから第18条第2項では「個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない」としています。 そして、同意が必要な場合としては、第20条第2項の「要配慮個人情報の取得」、第27条第1項の「個人データの第三者提供」、第28条第1項の「海外にある第三者への提供」、第31条第1項の「個人関連情報の第三者提供」が挙げられます。 これらの6つが、個人情報保護法で明文化されているケースです。

日本において、実際に同意はどのように取られていることが多いのでしょうか？

利用規約をリンクを踏めば読めるようにしておき、利用規約の下に配置したチェックボタンにチェックをしてもらうことで「同意した」とする方法がよく取られています。

契約上重要なものの場合は、書面で同意を取得するケースもまだありますが、電子化が進んでいる影響で、このようなケースはだんだん減少しています。実務上、ユーザーにとってできるだけ負担にならないような形で、かつ同意を取得したことを証明できる形になってきた結果とも言えるでしょう。

どのように本人からの同意を得る必要があるのかに関しては、個人情報の保護に関する法律についてのガイドライン（通則編）の2-16 本人の同意に記載されています。

そもそも、「同意取得」とはどのような意味でしょうか？

同意取得とは何かについて理解するためには、先ほど紹介した個人情報の保護に関する法律についてのガイドライン（通則編）2-16をまずは理解する必要があります。ここによれば、本人の同意とは「本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認できていることが前提となる）」とされています。つまり、本人からの意思表示があればOKということです。

ただ、「本人の同意を得（る）」ことの解釈が難しく、通則編によれば、「本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」とされています。

何が難しいかというと、結局「どのような方法で同意を取得すればよいか」がわかりにくいということですね。

そこで、最近だと、本人が同意対象を明確に認識し、かつ、提供先を選ぶことができるように、ダッシュボード形式で第三者提供先の選択などができる仕組みが設けられている場合があります。「同意を取得した上で、本人があとで第三者提供先をコントロールできる」という感じです。

ユーザー自身が提供したパーソナルデータを管理することができるダッシュボードでは、同意事項の確認や提供の可否を取捨選択することができます。代表的な事例として「Google ダッシュボード」や、NTTドコモの「パーソナルデータダッシュボード」が挙げられます。

利用規約に同意した場合、その他の個別条項の同意も有効といえますか？

同意の取得に関しては、民法の548条の2「定型約款の合意」　が適用されるかも考える必要があります。

（定型約款の合意） 第五百四十八条の二 定型取引（ある特定の者が不特定多数の者を相手方として行う取引であって、その内容の全部又は一部が画一的であることがその双方にとって合理的なものをいう。以下同じ。）を行うことの合意（次条において「定型取引合意」という。）をした者は、次に掲げる場合には、定型約款（定型取引において、契約の内容とすることを目的としてその特定の者により準備された条項の総体をいう。以下同じ。）の個別の条項についても合意をしたものとみなす。

一　定型約款を契約の内容とする旨の合意をしたとき

二　定型約款を準備した者（以下「定型約款準備者」という。）があらかじめその定型約款を契約の内容とする旨を相手方に表示していたとき

前項の規定にかかわらず、同項の条項のうち、相手方の権利を制限し、又は相手方の義務を加重する条項であって、その定型取引の態様及びその実情並びに取引上の社会通念に照らして第一条第二項に規定する基本原則に反して相手方の利益を一方的に害すると認められるものについては、合意をしなかったものとみなす。

少しわかりにくいので、同意の取扱いについて端的に説明すると、不特定多数の者を対象とした定型的な取引に関する合意については、「内容が不合理なものでない限りは同意したものとみなす」というものです。

利用規約に関する一般的な同意であれば多くの場合、同条文でカバーすることが可能だと考えられています。もっとも、これはあくまでも契約に関する民法上の規定であり、個人情報保護法における「同意」に上記の条文が直接適用されるかについては、否定的な考え方もあります。

日常生活でよく見かける同意取得の方法は「正しい」ということができるのでしょうか？

これは難しい問題です。何が難しいかというと「正確性」と「わかりやすさ」のどちらを重視すべきかという点ですね。

「正確性」を重視してしまうと、どうしても長文かつ法律用語が一気に増えて読みづらく、難しい文章となります。一方で、「わかりやすさ」を重視すると事柄が単純化してしまい、具体的な部分の説明が不十分になりがちです。

このバランスが難しいところで、結局は利用者によって理解度のレベルが異なることが大きいと思います。法律に明るい方であれば、規約に専門用語があっても内容を理解できますが、高校生は理解することは難しいです。同じ利用規約で本人同意を得るとしていること自体に限界があります。最近では、同意事項について一覧できる概要を記載し、より詳しく知りたい人は該当箇所をクリックすると詳細を確認できる方式による説明が推奨されています。この点、EUのGDPR（一般データ保護規則）では、同意の取得について、もう少し詳しく書かれているので、日本の個人情報保護法の記述は参考になるかもしれません。

GDPRの場合の同意取得はどうなっているのでしょうか？

まず、GDPRの7条2項（個人情報保護委員会仮日本語訳）を見ていただきたいです。

別の事項とも関係する書面上の宣言の中でデータ主体の同意が与えられる場合、その同意の要求は、別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない。そのような書面上の宣言中の本規則の違反行為を構成する部分は、いかなる部分についても拘束力がない。

また7条3項にて、

データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。

と書かれています。

このようにGDPRでは、同意を得る必要性だけではなく、「別の事項と明確に区別でき、理解しやすく容易にアクセスできる方法で、明確かつ平易な文言を用いて、表示されなければならない」と、同意を得るためにどのようなことをしなさいという方法まで書かれています。

正当な同意取得を今後行なっていく上で、参考となる考え方はありますか？

イギリスのデータ保護機関であるICO（The Information Commissioner‘s Office）の「ICOにおいて推奨される通知・同意取得における工夫（NRI：実効性のある通知・同意取得方法の在り方に関する実証事業の報告）」を参考にするといいと思います。

ここでは、5つの項目を挙げています。

• 階層的アプローチ
• ダッシュボード
• ジャストインタイム通知
• アイコン
• モバイルおよびスマートデバイスの機能性

なるほど、ありがとうございます。同意管理方法はまだ発展していく余地がありますね。また同意管理方法を整理していく上で、いろいろ教えてください！

いえいえ。またわからないことがあったら相談してください！