個人データを、ビジネスを守る、IIJ

【回答公開中】
電話サポート窓口での応答


  • 2019年5月7日

03.2. データ主体の権利/情報及び個人データへのアクセス

質問

当社では、欧州に展開している製品のサポート業務において、電話窓口での通話録音を行うにあたり、欧州のお客様からのお問い合わせ電話を着信した際にGDPRに適合した端的な自動音声ガイダンスを流したいと考えています。
サポート窓口では、お問い合わせ者の氏名、電話番号、問い合わせ内容などを取得することになり、GDPR13条を考慮すると、処理目的、適法根拠、受領者カテゴリー等の多数の情報を提示しないといけないことになります。どのような内容を自動音声ガイダンスで流すのがよいでしょうか?
(この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。)

回答

最初に結論を申し上げますと、「サービス向上のために通話を録音させていただきます。」というような内容を自動ガイダンスに入れることで問題ないと思います。以下、根拠につきご説明いたします。

(1) プライバシーノーティスの必要性について
サポートを電話で行う場合、顧客の個人特定に必要な情報(氏名、折り返し連絡電話番号)およびお問い合わせ内容(録音を含む)などの個人データを取得することになります。この場合、GDPR第13条に基づき、取得時点(つまり問い合わせ受付時点)で、以下の内容について顧客に説明する必要があります。

- 処理目的:契約に基づくサービスの履行のため、または契約前の顧客からの要請による情報提供のため
- 適法根拠:契約履行または契約前手続のために必要
- 開示先:電話サポートを外注するサードパーティ(ほかにあれば追加)
- EEA域外移転:なし
- 保持期限:問合せ案件クローズ後XXか月間
- アクセス権・訂正権・削除権・制限権・ポータビリティ権・異議権の存在と行使方法
- 監督機関に異議申立ができること
- 連絡先:この電話番号

以上が正式な対応ですが、ご想像の通り、このような長々とした説明を電話で実際に行っている問い合わせ窓口は稀だと思われます。

GDPRで情報提供について規定した13条4項では、例外として、すでにデータ主体がこれらについて既知であるときは適用しないとしています。常識的に、サービス利用に伴うサポート窓口に電話をかける顧客は、上記のほとんどについて既知であるといってもよいので、この例外条項を援用して、一々長いプライバシーノーティスを朗読したり自動音声で流したりしていないのだと考えられます。

(2) 音声という特別カテゴリー個人データの取得に伴う同意について
問い合わせ内容を録音することに伴い、GDPR9条に定義する特別カテゴリー個人データを取得することになり、この場合、処理全体(問い合わせ対応)の適法根拠にかかわらず、データ主体の明確な同意(explicit consent)が必要とされます。「録音します」と宣言したのを聞いた上で顧客が問い合わせ内容を話すのであれば、それは顧客の明確(explicit)で肯定的(affirmative)な意思表示であるといえるので、GDPR遵守の観点から問題ないと思います。
英語では、
"Your inquiry and our response will be recorded. By continuing your inquiry
we assume you give us explicit consent to our doing so." 
のような言い方になるのでしょうが、「録音させていただきます」に対して問い合わせを続けたことを持って十分明確で肯定的な同意と認められると考えます。

関連する記事