おはようございます!マネジメントオフィスいまむらの今村敦剛です。
GDPRをはじめとする欧州の個人データ保護のルールを読み解いていくうえで、最初の関門となるのが「個人データ」とは何か、ということです。定義にはかなりあいまいというか、広い解釈の余地を残していることもあり、理解が難しいところでもあります。備忘録がわりにまとめてみました。
<toc>
「個人データ」に関するGDPRの定義
GDPRは個人データ保護のための規則(法律)なのですから、「個人データ」に対する概念はGDPRの核だと言ってもよいでしょう。しかしその定義は、あえて広めにとられているように思われます。まずはGDPR上の定義を見てみましょう。
(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
(1) 「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。(個人情報委員会一般データ保護規則の条文 日本語仮訳より)
どうですか?難しいですね(>_<)これの理解を助けるものに、EU個人データ保護指令第29条作業部会が出した意見(Opinion 4/2007)があります。そこには個人データの意味を構成する4つの要素について述べられています。これを一つずつ見ていきましょう。
- すべての情報 (any information)
- に関する (relating to)
- 識別された又は識別することができる (an identified or identifiable)
- 自然人 (natural person)
すべての情報 (any information)
情報(information)は、①性質面、②内容面、③形式面という3つの側面から判断することができるそうです。どのような性質(客観的・主観的)であっても、どのような内容(私生活情報・行動履歴・仕事上の情報)であっても、どのような形式(文字・図等)であっても、それらすべてが個人データだ、ということでしょう。
性質面について
情報の性質面には「客観的情報」と「主観的情報」の両方があります。客観的情報とはその人の学歴や肩書などであり、主観的情報はその人の評価などです(その評価が正しいものであるかどうか、真実を反映しているものであるかどうかは問われない)。
内容面について
個人の私生活に関するような情報(氏名、自宅住所など)だけではなく、個人が行った活動の記録(使用記録や履歴など)や、仕事場における情報(職場の電話番号やメールアドレス)などがありますが、これらが全て含まれます。前文30項で述べられているようなIPアドレスやcookieデータ、無線周波数タグなどのオンライン識別子も「あらゆる情報」です。
形式面について
文字、数字、図、写真、音などで記録・表現されることがありますが、これらをすべて含みます。自動化された手段で扱われるもの(コンピューター等で処理されるもの)だけではなく、場合によっては手作業による処理(ファイルの保管等)も含まれます。
に関する (relating to)
個人データであるためには、情報は個人に関するものでなければなりません。しかし(例えばIPアドレスのように)、個人と情報との関係が容易に結びつくものばかりとは限りません。個人データとみなされるかどうかは、時と場合によるところがあります。第29条作業部会の意見(Opinion 4/2007)によると、個人データが個人と関連するには、①内容、②目的、③結果の3つの要素のうち、どれか1つが適用される必要があると言います。
ここはなかなか説明が難しいので、日本の個人情報委員会が出している説明と事例を引用することにとどめておきたいと思います。(余計わからなくなるかもしれませんが、事例を見ればなんとなくわかると思います…)
識別された又は識別することができる (an identified or identifiable)
"identified"(識別される)とは、個人が他の人と区別されて認識(識別)されることであり、"identifiable"とは、そのような区別(識別)が可能であること(まだ識別はされていないが今後可能である場合)を言うようです。識別は、氏名などで直接的に識別することもできますし、ID番号やIPアドレスのように間接的に、他の情報との組み合わせなどによっても識別が可能です。
なにをもって識別可能と判断するかは、GDPR前文26項でも述べられていますが、「合理的であること」が必要です。第29条作業部会は、個人を区別する可能性が存在しないまたは無視できる場合は、その個人を識別可能とみなすべきではない(そのような情報は個人データではない)と認識しているようですが、どのデータが識別可能でどのデータが不可能かは一律に判断することは難しく、ケースバイケースでの判断となるでしょう。
例えばどういったものが「識別可能」ではないかというと、匿名化されたデータ(anonymous data)が前文26項で挙げられています。
自然人 (natural person)
自然人とは、法人に対する概念です。生身の人間のことだと理解していればよいと思います。GDPRの前文2項で述べられているように、その国籍及び居住地によって制限されるものではありません。また、自然人とは生存する個人のことであり、死者は含まれません。しかし、死者のデータであればどのように処理してもよいかというとそうではなく、一定の保護が求められる場合もあります。(例えば、死者に関する情報から、生存する血縁者等の個人が識別されうる場合など)
で、結局は何が「個人データ」なのか?
自分でまとめていても理解が難しくなってきましたが、何が個人データで、何がそうでないのかは、EUのページに具体例が載っていました。これを念頭に置いて上記の項目を読むと、なんとなく理解できるように思います。
個人データの例(EU公式の例示。日本語参考訳は筆者による)
- 姓名 a name and surname;
- 自宅の住所 a home address;
- name.surname@company.comのようなメールアドレス an email address such as name.surname@company.com;
- IDカード番号 an identification card number;
- 位置情報(例えば携帯電話の位置データ機能) location data (for example the location data function on a mobile phone)*;
- インターネットプロトコル(IP)アドレス an Internet Protocol (IP) address;
- a cookie ID*;
- 携帯電話の広告識別子 the advertising identifier of your phone;
- 病院や医師が保持するデータであり、個人を一意に識別する象徴となりうるもの data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.
個人データとはみなされないデータの例(EU公式の例示。日本語参考訳は筆者による)
- 会社登録番号(筆者注:日本でいう法人番号のようなもの) a company registration number;
- info@company.comのようなメールアドレス an email address such as info@company.com;
- 匿名化されたデータ anonymised data.