英国の情報コミッショナーにおいて、「ＧＤＰＲ同意ガイダンス」についての諮問がなされました。

内容については、詳細に検討する必要があるのですが、５ 頁の要約（In brief）では

（1)GDPRは同意のための高い基準を定めているが、一番の変化は同意メカニズムへの及ぼすものと考えられる
（２）GDPRでは、同意の表示はより明確で、より積極的な行為をなさなくてはならないということがより明らかになっている。
（３）同意は、（契約に関する）他の条項や条件とは別にする必要がある。また、契約の提供をうける（ｻｲﾝｱｯﾌﾟ）の前提条件とすることはできない
（４）GDPRは特に事前にチェック済みのオプトインの同意ボックスを禁止している
（５）GDPRは、明確な処理の作業についての明細な（granular ）同意を必要としている
（６）同意を明らかにするために明確な記録を保持しないといけない
（７）GDPRは、同意を撤回する特別の権利がある。利用者にたいして、その権利があることを周知し（tell）、容易な方策を提供しないといけない。
（８）官公庁、雇用者および権限を有する（in a position of　power）その他の組織は、有効な同意を得るのに、より困難を伴うことを理解するだろう
（９）GDPRの標準に適合するのを確認するために、現依存する同意および同意メカニズムを確認する必要がある。そうすれば、新たに同意をとる必要は存在しない。

ということが記載されています。

これは、GDPR４条（11)において
「データ主体の「同意」とは、強制を受けず、、特定的に、情報提供を受けたうえでかつ曖昧でないデータ主体の意思表示であることを意味する。その意思は、当該データ主体
が、宣言又は明らかな積極的行為によって、自己に係る個人データの取扱いに合意(agreement)して表すものとする。」
とされていること、また、同７条において
「1. 管理者は、データの対象者が自身の個人データが定められた目的のために処理されるということに同意していることを明らかにすることができるべきである
2.データの対象者の同意が別の案件を含む書面において与えられる場合には、その同意の要件がその別の案件と区別できる方法によって明示されなければならない。
3.データの対象者本人は、いつでも同意を取り下げる権利があるものとする。また、同意の取り下げは、取り下げる前の同意に基づく処理の合法性になんら影響を与えない。
4. データの対象者の立場と管理者のそれとの間に大きな不均衡がある場合には、同意は処理のための法的根拠にはならない。」
とされているのに関するものです。

（なお、翻訳については、一般財団法人日本情報経済社会推進協会によりました）

でもって、この点については、29条委員会は、以前「Opinion 15/2011 on the definition of consent」（WP187）を出しており、それとGDPRとの関係も検討しなければならないことになります。このガイダンスによるとWP187とグッドプラクティスを法典化したものということになるそうです。

この変更は、ICOによると「組織的、継続的、積極的な管理された選択（an organic, ongoing and actively managed choice）としての同意という思想をダイナミックに表しているもの 」と評価されることです。
従来も、たとえば、英国においての同意は、電気通信分野においては「付加価値サービスを提供するのに際して、その事前の同意を取得しなければならない。同意を取得する以前に、通信プロバイダは、利用者・加入者に対して、⑴処理される位置情報のタイプ、⑵データの処理目的及びその期間、⑶付加価値が提供されるのに際して、データが第三者に送信されるか、どうかという情報を与えなければならない。」とされていましたし、また、「データがどのように利用され、その利用について同意する結果がどうなるのかについて広範囲に理解ができるような明確な情報が与えられるべきである。」とされていました。

この実務から、どのように変化していくのか、今後の動向が注目されるところです。

個人的には、同意といっても、安全のため、損害を防止するためからコマーシャルのためまでいろいろとあるわけで、それを一律のルールというのは、あまり賛成できないなあという感じです。あと、同意は、実は、経済的な価値があるので、アンバンドルするというのは、その価格の評価をどうするのか、という論点も出てきそうです。行き過ぎだよね、という感じは、しますけど、おもしろい論点を提供してくれます。