2021年6月18日8:20
~ 欧州一般データ保護規則(GDPR)や改正決済サービス指令(PSD2)で考慮すべきこととは ~
記事のポイント!
①GDPR等の関連法令のトレンドを紹介
②GDPRでは個人データ処理は法的根拠がある場合にのみ合法
③PSD2とGDPRとの相互作用に関するガイドライン作成
④TPPは、事業者に対して行うことは?
⑤GDPRは法的リテラシーに
業界団体UK Financeによると、2019年、英国での全支払いの半分以上がカードおよび非接触型決済で行われ、現金による支払いは、初めて、全支払いの4分の1未満を記録した1)。更に、新型コロナウィルスの感染拡大は、欧州域内の行政当局が市民や企業にキャッシュレスソリューションの採用を奨励しているため、キャッシュレス社会への移行を加速させている。
一方で、このカードおよび非接触型決済の急増により、カード会員データ、取引メタデータ、販売者データなど、各決済取引から生成された膨大な数のデータの管理方法や、支払取り消し、払い戻しに関する情報についての疑問が生じている。欧州では、決済部門での活動は、改正決済サービス指令(2015/2366: PSD2)の適用対象となる。 そして、そのPSD2の重要な要件は、規制対象の企業が欧州一般データ保護規則(GDPR)に準拠して個人データを処理することである。
そこで本稿では、GDPR準拠を始め企業の事業活動支援を展開しているしているドイツの認証機関の日本法人、テュフズードジャパンが、GDPR等の関連法令のトレンドを解説する2)。
個人データ処理に関する法的根拠
GDPRの下では、個人データ処理は法的根拠がある場合にのみ合法と見なされる。 具体的には、第6条の(1) (b)において、データ主体が当事者となっている契約の履行のために処理が必要な場合、または契約の締結前のデータ主体の求めに応じて手続きを履践するために処理が必要な場合と規定されている。欧州データ保護会議(EDPB、European Data Protection Board)は、この要求事項を、支払いサービスの提供において個人データを処理できる主要な法的根拠と見なしている。そして、そのようなサービスには、支払いサービスの使用者と決済サービス提供者との間の契約が常に含まれることを強調している。ただし、口座情報サービス事業者(AISP、Account Information Service Provider)や決済指示サービス事業者(PISP、Payment Initiation Service Provider)といった、直接の契約上の結びつきがないサービスプロバイダー(TPP、Third Party Providers)の場合、注意が必要だ。
