個人データを、ビジネスを守る、IIJ

EDPB クレジットカード情報保存に関する勧告を公表


 EDPBは、2021年5月19日、オンライン取引において、将来の取引を円滑に行うこと唯一の目的としてクレジットカード情報を保存する場合の適法根拠に関し、レコメンデーション(勧告)を公表した。

本勧告の目的

 新型コロナウィルスによるパンデミックの中、デジタル経済は飛躍的に発展したが、一方で、オンラインで使用されたクレジットカード情報への侵害リスクも高まっている。クレジットカード情報の侵害リスクを減らし、デジタル経済への信頼を高めるには、GDPRに基づくデータ保護原則を尊重し、クレジットカード情報に関するデータ主体の権利を保護する必要がある。
 本勧告は、データ主体がオンライン上で商品やサービスの対価をクレジットカードにより支払った後、データ管理者である製品やサービスのプロバイダーが、将来の取引を円滑に行うことを唯一の目的として、当該クレジットカードの情報を保存するという状況について、どのようなGDPR上の適法根拠に依拠し、どのような点に留意すべきかを述べるものである。

適法根拠の検討

 データ管理者がクレジットカード情報を保存するためには、他の個人データ処理と同様、GDPR6条1項各号の適法根拠を有する必要がある。
 しかし、データ主体が商品やサービスの対価を支払った後、将来の取引を円滑にすることを唯一の目的としてクレジットカード情報を保存することには、●契約履行上の必要性(同条項b号)、●法的義務履行上の必要性(同条項c号)、●自然人等の重要な利益を保護する必要性(同条項d号)、●公共の利益、公的権限行使の必要性(同条項e号)は認められない。したがって、これらはクレジットカード情報を保存する適法根拠としては適切ではない。
 さらに、●データ管理者または第三者の正当な利益を追求する上での必要性(同条項f号)についても、以下の理由から適法根拠として適切とはいえない。

  • データ管理者または第三者の利益は明確に特定・定義され、処理の時点で有効な現在の利益である必要があるが、将来の取引を円滑にすることはそのような場合に該当しない。
  • 将来の取引が行われるかどうかは顧客の選択に依拠しており、「ワンクリックで」購入できることが将来の取引を促進するものではないから、クレジットカード情報を保存することは、正当な利益を実現するために必要とはいえない。
  • データ管理者または第三者の利益は、データ主体の利益または基本権・自由に優先するとはいえない(バランシング・テスト)

推奨される適法根拠と留意点

 以上のように、GDPR6条1項b~f号はいずれも適法根拠としては不適格である。したがって、●データ主体の同意(a号)が適法根拠として適切である。同意を適法根拠とすることは、データ主体による個人データのコントロールという観点からも望ましいからである。

 もっとも、この同意に関してはいくつかの留意点が指摘されている。

  • 同意は、任意性があり、具体的・明白で、適切な情報に基づくものであることが必要
  • 同意は、データ主体の積極的な行為によって、明示的に提供されることが必要
  • 同意は、ユーザーフレンドリーな方法で取得されることが必要
    (例)事前にチェックをしていないチェックボックスによる同意
  • この場合の同意と、サービス・販売条件に対する同意とを区別する必要
  • 同意を取引の完了条件とすることは不可
  • データ主体はいつでも同意を撤回することが可能
    なお、同意の撤回は、同意を与えることと同程度に容易でなければならない

今後の対策等

 以上のように、EDPBは、将来の取引を円滑にすることを唯一の目的として顧客のクレジットカード情報を保存する場合の適法根拠として、GDPR6条1項a号の同意に依拠することを推奨している。
 もっとも、データ主体の同意を取得したとしても、前述の留意点を踏まえていない場合、当該同意が無効とされる可能性がある。そして、同意が無効とされた場合、適法根拠を欠いたまま個人データを処理したとして、制裁金が課されることもありうる。
 事業者が、将来の取引を円滑にすることを唯一の目的として顧客のクレジットカード情報を保存する場合は、前述の留意点を十分に踏まえた上で、データ主体である顧客からの同意を取得する必要がある。

【EDPBのレコメンデーション(勧告)】

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022021-legal-basis-storage-credit-card_en

関連情報

コンテンツ

GDPR関連コンテンツ

EDPB関連コンテンツ

クレジットカード情報関連コンテンツ

同意関連コンテンツ

サービス

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。

 

関連記事