【データ法】個人データ ーGDPR Art 4(1)ー
こんにちは。
お読みいただきありがとうございます。
これまで、いくつかのGDPR(及びUK GDPR)関連の話題を投稿しました。
今回は、今までで最もシンプルな「個人データ」(personal data)って何?という話について書きたいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
個人データの特定は検討の出発点
お客さんから「今回のビジネスって、GDPR上何か問題ありますか?」というご相談を頂いたとき、ぼくは、次のことをまず念頭におきながら、お話を伺います。
今回のビジネスで処理(*1)される「個人データ」は何か?
というのも、GDPRは、個人データの処理を規律する法律であり、個人データが処理されていない活動に、GDPRが適用される余地はありません。
実体的適用範囲(Art 2)や地理的適用範囲(Art 3)の話は、もしかしたら個人データの特定よりも論理的には先に来るのかもしれません。しかし、これらを検討するには、事実上、個人データの処理の中身を明らかにしないといけません。
そこで、ぼくとしては、まず「今回、操作されるデータは何か?」を検討の出発点にされることをおススメします!
さっそく本題に行きましょう。
個人データとは?
Art 4(1)では、次のように定められています(太字はぼく)。
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
日本語だとこうですね(*2)。
「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
重要なのは第1文です。
個人データとは、①識別された(識別可能な)、②自然人、③に関する、④情報という4つの要素から構成されていると、しばしば解説されます。
ただ、ぼくは、これらの要素を毎回当てはめて個人データの該当性の判断をしているというよりは、個人データに該当しない(又は該当しないかもしれない)ものを類型的に覚えていて、そこにヒットする特殊なものだけを、改めて検討するという思考をしています。
なぜなら、個人データはかなり広く解釈されており、担当者の方が心配になって相談に来るような案件は、たいてい個人データが操作されるような事案だからです。
そのため、個人データの特定は検討の出発点であれど、個人データを操作していないケースは極めてレアだと思っておいた方がよいです。
ここからは、個人データの具体例を挙げていきたいと思います。
これは個人データですか?
故人に関するデータ:✖
GDPRは、故人に関するデータを対象としていません。故人は、②自然人ではないためですね。あんまり問題になることはないですが、分かりやすいので、教科書的によく言及されます。
なお、EU加盟国が故人に関するデータを保護することは禁止されていません。実際、デンマークでは、故人の死後10年間は、その故人の個人データにGDPRが適用される法律があるようです。もしかしたら、ほかのEU加盟国にも、同様の定めを置いているところがあるかもしれません。
もっとも、原則は✖です。
匿名化したデータ:✖
GDPRは、本人を識別できないように施されたデータ、すなわち匿名化したデータを適用対象としていません。匿名化により個人を①識別可能でなくなるからです。
ただし、そのデータが本当に匿名化されていると言えるのか、注意深く確認することが必要です。
例えば、顧客リストの氏名を番号に置き換えていたとしても、その番号と顧客の氏名を紐づけるために必要な情報を他部署で保管しているような場合には、匿名化されたとは言えません。
このような加工は、匿名化ではなく仮名化(pseudonymisation)と呼ばれ、組織としてみれば、依然として個人を識別可能である以上、個人データとして取り扱われます。
従業員が業務で使用する連絡先:〇
従業員が業務で使用する連絡先の情報は、個人データです。
メールアドレスのように、従業員の名前が入っていれば分かりやすいですが、直通番号なども、個人データに該当します。
IPアドレス、Cookie:△
「△」というのは、個人データに該当する可能性がある(というか高い)ので、検討が必要という意味です。
ざっくり言うと、これらのようなオンライン識別子であっても、個人と関連付けられうるため、個人データに該当し得るということです。
例えば、ドイツのBreyer事件(*3)では、動的IPアドレスを個人データと認めており、動的IPアドレスが各国の法制度や具体的事情の下で、個人データに該当する可能性も十分にあります。
また、Cookieについては、多くの場合に個人データに該当する上、ePrivacy指令との関係で、いずれにしても規制への対応が必要だったりします。ePrivacy指令についてはこちら。
紙で保管されている患者のカルテ:〇
個人データというと電磁的記録をイメージしますが、GDPR上、個人データは「情報」であれば足り、電磁的に記録されていることは要求されていません。正確には、カルテに記載されている情報が、個人データに該当するということですね。
もっとも、電子的な処理ではない個人データの取扱いは、ファイリングシステムの一部を構成するものに関しなければ、GDPRは適用されません(*4)。この「ファイリングシステム」の中身は議論があるようですが、あまり実務上困ることはないですね。ほとんどのデータは電子化されているので。
例えば、上記のカルテはファイリングシステムを構成すると思います。他方で、病院の受付の人が応対に際してメモ書きした個人データは、ファイリングシステムを構成しないため、消しゴムで消したり、シュレッダーにかけたりすることにGDPRは適用されないという結論になるはずです。
いくつか例を挙げましたが、こんなものでしょうか。
もし何かほかに良い例を思い出したら追記します。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 'processing'を「取扱い」と訳すことが多いですが、個人的には「処理」の方がしっくりくるので、後者の訳を使っています。
*2 個人情報保護委員会が公開している仮訳です。リンクはこちら
*3 Case C-582/14, Patrick Breyer v Bundesrepublik Deutschland, judgment of 10 October 2016 (ECLI:EU:C:2016:779)
*4 GDPR, Art 2(1)。'processing'を「取扱い」と訳すことが多いのは、こういう理由からです。
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。