【データ法】実体的適用範囲 ーGDPR Art 2ー
こんにちは。
お読みいただきありがとうございます。
もし、「このビジネスって、GDPR上の問題ありますか」という相談を受けたとき、前提となる検討として、対象となるビジネスが、どんな個人データを(客体)、どう操作するのか(行為)、そして、誰がそれを行うのか(主体)、という点を確認する必要があります。
これら3つに関しては、過去の記事をご覧ください。
客体のお話:
行為のお話:
主体のお話:
ここまで来れば、前提となる検討事項は残りわずかです。次に目をやるのが、実体的適用範囲(Material scope)です。
砕けて言うと、GDPRは、その個人データの処理を例外的に規制の対象から外していないかを検討する必要があるということです。
今回は、この実体的適用範囲について書きたいと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
GDPRの実体的適用範囲は?
原則:あらゆる個人データの処理が対象
基本的には、個人データを処理する場合、GDPRが適用されると考えた方がよいです。
もっとも、GDPRはいくつかの例外を用意しています。そこで、以下では、例外的に適用対象外となる場合を挙げていきます。
例外①:自然人による私的行為・家庭内の行為
例えば、ぼくがロースクールの友人AとWhatsAppでチャットをしていて、次のようなやり取りがあったとします。
「ハマースミス駅の近くに住んでいる」という情報は、友人Bの「個人データ」です。ぼくは、これを、友人Aに対する送信による開示(disclosure by transmission)という「処理」を行っています。
こんなWhatsAppの会話にまで、GDPRが適用されて、場合によっては制裁金が課されるなんてナンセンスですよね。ルール①は、こういう局面を想定して、私的行為・家庭内の行為をGDPRの実体的適用範囲からのぞいています(*1)。
注意:私的行為・家庭内の行為と認められない場合も多い
このルール①は、どこまで認められるのでしょうか。実は、EUの裁判所(CJEU)は、この問題にかなり慎重です。
例えば、Lindqvist事件(*2)では、Lindqvist さんという人が、教会でボランティアをしている人に関する情報を個人的なウェブサイトで公表したことが、ルール①に該当するか争われたのですが、CJEUは、これを否定しました。
また、Ryneš事件(*3)では、Rynešさんという人が、防犯上の理由から私有地に設置した監視カメラで撮影を行ったことについて、公共の空間が撮影範囲に含まれていたことを理由に、ルール①に該当しないと判断されました。
例外②:手動の処理
次は、このような場面を想定してみます。
急患Yの脈拍数は、個人データに当たり、医者Xは、手首に指をあてて脈拍数を収集する(collection)という行為をしています。
しかし、このような手動の処理については、原則として、GDPRは適用されません(*4)。
これは、そもそも大昔にデータ保護法が導入されるきっかけとなったのが、コンピュータの導入により個人データの構造化と検索が容易になったことにあることを反映しています。つまり、手動の処理については、このような構造化と検索の容易化をもたらさないために、適用範囲外とされたわけです。
例外②の例外:手動の処理であっても、ファイリングシステムを構成するものは適用対象になる
この例外②には、例外があります(ややこしい)。
先ほど、手動の処理は構造化と検索の容易化をもたらさないことが推定されるため、GDPRが適用されないと述べました。裏を返せば、手動の処理であっても、構造化と検索の容易化をもたらすのであれば、GDPRを適用しない理由はありません。
そのため、GDPRは、ファイリングシステムの一部を構成するもの、又は、ファイリングシステムの一部として構成することが予定されているものについては、手動による処理であっても、適用対象としています。
例えば、上記の例で、医者Xが、患者Yの脈拍数を紙のカルテに記載して、他の患者のカルテとともに保管して、各患者の脈拍数を容易に検索できるようにした場合には、GDPRが適用される可能性が高いです。
例外③:犯罪の予防、捜査などを目的とした当局の活動
GDPRは、適用対象となる行為主体を限定していません。そのため、政府や捜査機関による個人データの処理も、GDPRの適用対象となり得ます。
もっとも、次の場合には、GDPRは適用されません。
ぼくたち民間人はGDPRに縛られるのに、ずるい気がしませんか?
実はこの点は一応のカバーがなされています。これらの捜査機関の活動については、法執行指令(LED)によって規律されており、捜査機関は、捜査に際してフリーハンドで個人データを処理できるわけではありません。
その他の例外
この他にも、国家安全保障に関する活動、裁判所によるデータ処理等がGDPRの実体的適用範囲から除外されています。
実は、ここまで述べたルールは、Article 2に全て記載されています。もし、その他の例外の中身が気になる方は、原文を読んでみてください!
まとめ
いかがだったでしょうか。
今回、ぼくがお伝えしたかったのは、次の点です。
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 Art 2(2)(c)
*2 Case C-101/01, Bodil Lindqvist, judgment of 6 November 2003 (ECLI:EU:C:2003:596)
*3 Case C-212/13, František Ryneš v Uřad pro ochranu osobnich udajů, judgment of 11 December 2014 (ECLI:EU:C:2014:2428).
*4 Art 2(1)
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
今回の記事のほかにも、データ法に関する解説を書いています。
ぜひ、ご覧ください!