デジタル化に関する法制度の備忘録

行政手続等のオンライン化やキャッシュレス化など、デジタル化に関する法制度について書いてます。

トップ > その他のテーマ > GDPRでのこどもの同意に関するルール

GDPRでのこどもの同意に関するルール

その他のテーマ

GDPRでのこどもの同意に関する規定)

 先日、オーストラリアで16歳未満のSNSの利用が禁止された、という報道について実際の条文などを見てみましたが、EUが制定した個人データの保護に関する法令であるGDPR(一般データ保護規則)においても、こどもの同意については、第8条で特別にルールが定められていると仄聞しました。

 前提として、GDPRのて第 6 条第 1 項(a)で、データ主体が特定の目的のための自己の個人データの取扱いに関して同意を与えた場合に、個人データの取り扱いが適法になる、というルールが定められています(「第6 条 取扱いの適法性」)が、そうしたことはとりあえず別の機会に見るとして、今回は、こどもの同意に関する第8条の内容を確認してみたいと思います。

 

(実際のGDPRの条文)

 実際の条文での規定ぶりを海外のサイト海外のサイトで探さないといけないかな、、と思ったところ、個人情報保護委員会のHPに、GDPRの仮訳がありました。

https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

 以下は、上記の仮訳からの引用です。

Article 8 Conditions applicable to child's consent in relation to information society services
第8 条 情報社会サービスとの関係において子どもの同意に適用される要件

1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.
 Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.
1. 子どもに対する直接的な情報社会サービスの提供との関係において第 6 条第 1 項(a)が適用される場合、その子どもが16 歳以上であるときは、その子どもの個人データの取扱いは適法である。その子どもが16 歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。
 加盟国は、その年齢が 13 歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。

2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.
2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする。

3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.
3. 第1 項は、子どもと関係する契約の有効性、締結又は法律効果に関する規定のような加盟国の一般的な契約法に対して影響を与えない。

 こどもの同意に関する第8条には、3つの項がありまして、第1項では、16歳未満の場合は親の同意が必要なこと(および各国の判断でこの年齢を13歳まで引き下げられること)が、第2項では、親の同意を確認することへの管理者(個人データの取扱いの目的及び方法を決定する者のこと)の努力義務が、第3項では、一般的な契約法との関係には第1項は影響しないことが、それぞれ定められています。

 オーストラリアのSNS利用禁止の場合と趣旨は違いますが、年齢の基準については、いずれも16歳未満となっているのですね。それが確認できたので、とりあえず今回はこれでいいかと思います。。

(「適法」って「lawful」なんですね。。一瞬awfulと見間違えてしまいました。。)

 

(参考)

ura49.hateblo.jp