【データ法】特別なカテゴリーの個人データ ーGDPR Art 9ー
こんにちは。
お読みいただきありがとうございます。
本日は、GDPRにおける、特別なカテゴリーの個人データについて書きたいと思います。
以前、個人データの処理の合法性について紹介しました。
詳しくは上記の記事を見て頂ければと思いますが、GDPRは、個人データの処理を原則的に禁止しており、Art 6に定める根拠がない限り、適法に個人データを処理できないと定めています。
今回ご紹介する特別なカテゴリーの個人データは、処理の際により厳しい要件をクリアしなければならないものです。
基礎的な話ですが、復習も兼ねて読んで頂ければと思います。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
特別なカテゴリーの個人データ(Art 9(1))
まずは、Art 9(1)をみてください(*1)。
人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入を明らかにする個人データの取扱い、並びに、遺伝子データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータ、又は、自然人の性生活若しくは性的指向に関するデータの取扱いは、禁止される。
ここで定められているような個人データの処理は、禁止されます。Art 6よりも強い言い方ですね。
なお、これらは網羅的なリストと理解されており、特別なカテゴリーの個人データは、次のように分類できます。
遺伝子データ(Art 4(13))
特別なカテゴリーの個人データには、GDPRで定義がされているものといないものがあります。遺伝子データは、されているものの一つです。
「遺伝子データ」とは、自然人の、先天的な又は後天的な遺伝的特性に関連する個人データであって、自然人の生理状態又は健康状態に関する固有な情報を与えるものであり、かつ、特に、当の自然人から得られた生化学資料の分析結果から生ずるものを意味する。
このような個人データが、特に厳重に取り扱われるべきというのは、直感的に分かりやすいかと思います。
このカテゴリーのデータでしばしば指摘されるのは、「当の自然人から得られた生化学資料の分析結果から生ずるもの」のみが遺伝子データと解されうるところ、急速な技術的進展により対応できておらず、自然人のデータに関する権利の保護を不十分にしているという点です。
具体例としては、今日では、顔の「画像」解析に基づいて、AIを利用した遺伝疾患の診断が確立されつつあるところ、これが生化学資料の分析結果と言えないようにも思われる、といった指摘がなされています。
生体データ(Art 4(14))
生体データについても、定義があります。
自然人の身体的、生理的又は行動的な特性に関連する特別な技術的取扱いから得られる個人データであって、顔画像や指紋データのように、当該自然人を一意に識別できるようにするもの、又は、その識別を確認するものを意味する。
論者によっては、DNAもこの生体データに含まれると言っている人もおり、生体データは、かなりの範囲で遺伝子データとも重なります。
健康に関するデータ(Art 4(15))
GDPRが定義を設けている特別なカテゴリーの個人データは3つあり、この健康に関するデータが最後の一つです。
医療サービスの提供を含め、健康状態に関する情報を明らかにする、自然人の身体的又は精神的な健康と関連する個人データを意味する。
遺伝子データや生体データに比べて、定義がカバーしている個人データの範囲がかなり広いです。将来の健康状態についても対象としていると解されていますが(*2)、健康状態について合理的な結論が導き出せないデータは対象外であると考えられています。
人種的又は民族的な出自
ここからは、GDPRに定義のないカテゴリーです。人種的又は民族的な出自を明らかにする個人データの処理は、Art 9(1)の適用対象となります。
イメージしやすいのは、いわゆる少数民族の所属でしょうか。また、肌の色についても、人種的な出自に属するものと考えられています。
政治的な意見
政党への所属、デモへの参加はもちろんんこと、政治的な発言についても、このカテゴリーに入るものと思われます。
宗教上又は思想上の信条
どの宗教を信仰しているか、というのが分かりやすい例です。
これは、私見ですが、スカーフの着用や特定の食品の拒否などのような宗教的、思想的信条の表現としての行動も、このカテゴリーに入るのではないかと思っています。
労働組合への加入
労働組合への加入を明らかにする個人データの処理も対象となっています。
自然人の性生活又は性的指向
当然ながら、性的指向については、それがマイノリティであるか否かを問いません。ある人が異性愛者であるという情報も、このカテゴリーに落ちることになります。
Art 9(1)の適用の際の留意点
条文を注意深く読んで頂ければ分かるのですが、ここまで述べた特別なカテゴリーのデータは、どのような場合に、Art 9(1)が適用されるのかという視点から3つに分けることができます。
まず、人種的若しくは民族的な出自、政治的な意見、宗教上若しくは思想上の信条、又は、労働組合への加入についは、それらを明らかにする個人データの処理が禁止されています。
次に、遺伝子データ、健康に関するデータ、自然人の性生活又は性的指向に関するデータについては、一切の処理が禁止されています。
最後に、生体データについては、自然人を一意に識別することを目的とする処理が禁止されています。
次に述べるとおり、Art 9(1)が適用されるとなると、実務上、その処理にかなりの制約が生じますので、慎重に適用の有無を検討する必要があります。
特別なカテゴリーの個人データの処理が例外的に認められる場合(Art 9(2))
GDPRのArt 9(2)は、「第1項は、以下のいずれかの場合は適用されない」と述べて、特別なカテゴリーの個人データの処理が例外的に認められる場合を次のとおり、規定しています。
なお、実務上問題となることはあまりないですが、特別なカテゴリーの個人データの処理は、Art 6の適用も受けるので、以下の根拠に加えて、Art 6(1)各号に定める根拠にも依拠できる必要があります。
明示的な同意(Art 9(2)(a))
まずは、明示的な(explicit)同意がある場合です。GDPRの主要な目的は自然人のデータに関する権利を保護することにあり、当人がそれを放棄すると言っているならば、規制する理由がないということですね。
ただし、Art 6と見比べて頂けると分かりますが、明示的な同意が必要です。これは、さらに高い基準で同意が要求されるということです。
どう基準が高いのかについても書きたいのですが、データ主体の同意は、GDPRの重要なテーマでもあるため、また近いうちに別稿で書きたいと思います。
雇用・社会保障等の分野における管理者又はデータ主体の義務の履行及び特定の権利の行使に必要な処理(Art 9(2)(b))
雇用主は、従業員の社会保険に関する事務のために、彼らの健康に関するデータなどを処理することがありますが、そのようなケースは、この例外により対処できます。
データ主体が同意を与えることができない場合の自然人の生命に関する利益を保護するための処理(Art 9(2)(c))
例えば、特別なカテゴリーの個人データの処理が、救急的な処置のために必要だけれども、当人が意識を失っていて同意を取ることが出来ない場合などが考えられます。
他には、GDPRは未成年者の個人データの処理について本人の同意に依拠することができないため、未成年の生命に関する利益を保護するための処理にも、依拠し得ます。
政治、思想、宗教又は労働組合の目的の組織による適切な保護措置を具備する正当な活動における処理(Art 9(2)(d))
見出しでは端折りましたが、当該処理は、組織の外部に開示されないことが条件となっています。そのため、第三者に特別なカテゴリーのデータが開示されることを伴う処理については、これに依拠することはできません。
データ主体によって明白に公開のものとされた個人データの処理(Art 9(2)(e))
この条項に依拠するときの留意点は、「データ主体によって明白に」公開された個人データでなければならないことです。例えば、インターネット上では、様々な個人データが公開されていますが、これらのうち、データ主体がアップロードしたものはごく一部です。したがって、インターネット上で修習可能だからといって、この条項を使用して特別なカテゴリーの個人データを処理できる理由にはなりません。
訴訟提起・攻撃防御のため、又は、裁判所が司法上の権能を行使する際の処理(Art 9(2)(f))
しばしば問題となるのは、訴訟提起のための処理について、将来の訴訟提起にどの程度の可能性があることが必要かということです。
基本的に、Art 9(2)は、例外的に特別なカテゴリーの個人データの処理が許される場合を規定していることから、文言は制限的に解釈すべきであるとされており、本項についても、少なくとも訴訟提起が差し迫っていることが必要と考えられています。
重要な公益を理由とする処理(Art 9(2)(g))
リサイタル(前文)46項は、本項に依拠できる場合として、伝染病やその蔓延の監視、人道的な緊急事態(自然災害や人災)に対処するために必要となる処理を挙げています。
なお、見出しでは端折っていますが、EU又は加盟国の法令に基づくものであり、手段が比例的でなければならないという要件も課せられています。
医療上の診断や治療の提供等のための処理(Art 9(2)(h))
条文を読んで頂ければと思うのですが、他の根拠に比べて、カバーしている範囲が広めです。
EU法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合
ただ、Art 9(3)にあるように、医師等の専門家により処理される場合に限り本項に依拠することが可能です。
公衆衛生の分野における公共の利益を理由とする処理(Art 9(2)(i))
この規定は、公衆衛生当局、災害・人道支援のNGOなどが依拠することを意図したものと言われており、それ以外の局面でこれを利用する場面はかなり限定的を思われます。
公共の利益におけるアーカイブ、又は、科学的・歴史的研究若しくは統計のための処理(Art 9(2)(h))
ここで重要なのは、「公共の利益における」がどこに係るのかです。日本の個人情報保護委員会の仮訳では、アーカイブ、科学的・歴史的研究、統計の全てに係るようにも読めますが、英語の規定ぶりや立法経緯からして、公共の利益におけるは、アーカイブにのみ係るものとぼくは考えています。つまり、科学的・歴史的研究又は統計のための処理については、公共の利益の目的の処理でなくとも構わないと考えられます。
実務上、依拠できる根拠は限られている
以上のとおり、特別なカテゴリーの個人データを合法的に処理するために依拠し得る根拠を合計10個も書いてきましたが、民間企業が何らかのビジネスとしてこれらの処理を行なおうとする場合、実際に依拠できるのは明示的な同意がほとんどです。
そのため、同意を得ることが困難なスキームの場合、予定しているビジネスがそもそも実現困難という結論にもなりかねないので、特別なカテゴリーの個人データの処理については、十分気を配る必要がありますね。
まとめ
いかがだったでしょうか。
本日は、以前の個人データの処理の合法性としてArt 6の解説をしたときと同様に、逐条解説のような内容となってしまいました。
以下のとおり、まとめます。
・ 人種的若しくは民族的な出自、政治的な意見、宗教上又は思想上の信条、労働組合への加入、及び、自然人の性生活又は性的指向を明らかにする個人データ処理は、より厳しい制約を受ける
・ 同じく、遺伝子データ、健康に関するデータに関する処理、及び、当人を一意に識別することを目的とする生体データの処理も、より厳しい制約を受ける
・ これらの処理を合法的に実施するためには、GDPR Art 9(2)に定める10個の根拠のいずれかに依拠できなければならない
・ 10個の根拠のうち、民間企業がビジネスとして個人データを処理する場合には、明示的な同意に依拠せざるを得ない場合が大半である
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 個人情報保護委員会の仮訳を拝借しています。もっとも"processing"については、ぼくの趣味で、「取扱い」ではなく「処理」と訳しています。
*2 Ricital 35, GDPR
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。