おはようございます!マネジメントオフィスいまむらの今村敦剛です。
今日はGDPRの実体的適用範囲(Material Scope)についてまとめたいと思います。実体適用範囲とは、どういう性質の個人データがGDPRの適用範囲になるのかを示すものであり、条文の第2条という、冒頭といっていい部分に定められているものです。
全てが自動的な手段・一部が自動的な手段による個人データの取り扱いに適用
まず原則としては、自動的な手段であろうが、手動(人の手を介して)の手段であろうが、個人データの取り扱いは全てGDPRの対象になります。GDPR第2条(1)でそう定められているのですが、下記に引用しましょう。
This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
本規則は、その全部又は一部が自動的な手段による個人データの取扱いに対し、並びに、自動的な手段以外の方法による個人データの取扱いであって、ファイリングシステムの一部を構成するもの、又は、ファイリングシステムの一部として構成することが予定されているものに対し、適用される。個人情報保護委員会 一般データ保護規則の条文 より
「全部が自動的な手段」とは何かという定義はありませんが、例えば自社のホームページに個人がアクセスした際、個人の端末にCookieデータを保存したり、保存したファイルを参照することなど、人の手を介されるものではないので、このようなものが「自動化された手段」なのでしょう(自信はありませんが……)。一部が自動的な手段とは、名刺交換をして、その名刺データを手動で名刺フォルダーやクラウドサービスなどに保存をする、などということが該当するのでしょうか。
個人データの取り扱いには適用されない例
第2条(2)(a)~(d)には、適用除外の事例が定められています。(日本語仮訳だけを引用します)
2. 本規則は、以下の個人データの取扱いには適用されない:
(a) EU 法の適用範囲外にある活動の過程で行われる場合。
(b) 加盟国によってEU 条約第5 款第2 章の適用範囲内にある活動が行われる場合。
(c) 自然人によって純粋に私的な行為又は家庭内の行為の過程において行われる場合。
(d) 公共の安全への脅威からの保護及びその脅威の防止を含め、所管官庁によって犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行のために行われる場合。個人情報保護委員会 一般データ保護規則の条文 より
(a)や(b)は、公的な安全性確保、外交、防衛、国家の安全保障などのことを指しているのだそうです。
私的な行為または家庭内の行為
第2条(2)(c)では「自然人によって純粋に私的な行為又は家庭内の行為の過程において行われる場合」とありますが、これは前文(18)に補足があります。日本語仮訳だけを引用します。
本規則は、純粋に私的な行為又は家庭内の行為の過程における自然人による個人データの取扱いであって、職業活動又は商業活動とは何らの関係もないものには適用されない。私的な行為又は家庭内の行為は、手紙のやりとり及びアドレスの保管、又は、そのような行為の過程で行われるソーシャルネットワーキング及びオンラインの行為を含みうる。ただし、そのような私的な行為又は家庭内の行為のために個人データの取扱いの手段を提供する管理者又は処理者に対しては、本規則が適用される。
個人情報保護委員会 一般データ保護規則の前文 より
どこまでが「私的」「家庭内」とみなせるかについては、いろいろと議論があるようですね。
犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行
第2条(2)(d)では「公共の安全への脅威からの保護及びその脅威の防止を含め、所管官庁によって犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行のために行われる場合」とありますが、これは前文(19)に補足があります。これの日本語仮訳の前半部分を引用します。
公共の安全への脅威からの保護及びその脅威の抑止を含め、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行の目的のため、並びに、そのデータの自由な移動の目的のための所轄官庁による個人データの取扱いと関連する自然人の保護は、EU の特別の法的行為に服する。それゆえ、本規則は、それらの目的のための取扱行為に適用されない。ただし、本規則に基づく公的機関による個人データの取扱いは、それらの目的のために用いられるときは、EU のさらに特別の法律行為、すなわち、欧州議会及び理事会の指令(EU) 2016/6807によって規律される。
個人情報保護委員会 一般データ保護規則の前文 より
公共の安全などを目的として、捜査機関や司法機関により個人データが取り扱われる場合は、GDPRではなくLEDP(法執行)指令によって取り扱われる、ということです。
EU機関による取り扱い
GDPR第3条(3)では、EUの機関や組織等による個人データの取扱は、別の規則が適用されるとあります。GDPR第3条(3)の日本語仮訳を引用します。
EU の機関、組織、事務局及び部局による個人データの取扱いに関しては、規則(EC) No 45/2001 が適用される。規則(EC) No 45/2001 及び個人データのそのような取扱いに適用可能な同規則以外の EU の法令は、第 98条に従い、本規則の基本原則及び規定に適合するように調整される。
個人情報保護委員会 一般データ保護規則の条文 より