【執筆者:渡邉雅之】
今回は、2018年5月に施行されるEU一般データ保護規則(General Data Protection Regulations)の用語について解説いたします。
なお、ご相談については下記にご連絡ください。
弁護士法人三宅法律事務所 パートナー
弁護士 渡邉 雅之
TEL: 03-5288-1021(代表)
Email: m-watanabe@miyake.gr.jp
【関連リンク】
〇EU一般データ保護規則
EU一般データ保護規則(GDPR)(第1回):EU一般データ保護規則とは?
〇個人情報保護法・マイナンバー法など
個人情報保護法・マイナンバー法対応規程集
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
匿名加工情報への対応(第2回):匿名加工情報について
匿名加工情報への対応(第3回):匿名加工情報取扱規程・匿名加工情報取扱方針(規程付)
医療ビックデータ法の概要
【解説】預貯金口座へのマイナンバーの付番(2018年1月から開始)
〇Business Lawyers掲載Q&A
_‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
_
「個人データ」とは、識別された又は識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。(規則4条1項)
_ ある自然人(データ主体)が識別され得るかどうかを判断するには、管理者やそれ以外の者が個人を直接または間接的に識別するために合理的に使用可能なすべての手段を考慮する必要があります。また、手段が、個人を識別するために合理的に使用可能であることを確認するためには、費用と時間のような識別に必要な一切の客観的要因および処理の時点で利用可能な技術や技術的進歩を考慮する必要があります。
「位置データ」や「オンライン識別子のような識別子」が具体例として挙げられていますが、これも「直接的に又は間接的に識別され得る」ための一要素です。「自然人は、オンライン識別子と関連付けられ得る」(前文24項)とされており、オンライン識別子が単独で直ちに個人データとなるわけではありません。
我が国の個人情報保護法上の「個人情報」とEU一般データ保護規則の「個人データ」でどちらが定義として広いか一概に比較はできませんが、「合理的に使用可能なすべての手段を考慮」とされているので、「他の情報と容易に照合することができ」(容易照合性)よりも広い可能性があります。他方、個人情報保護法上の「個人識別符号」に該当するものについては、単独で、「個人情報」に該当するので、EU一般データ保護規則の「個人データ」よりも広いと思われます。
〇参考
個人情報保護法上の「個人情報」
・個人識別符号以外の個人情報(法2条1項)
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
・個人識別符号(法2条2項)
�@身体的特徴のうち本人認証が可能なもの(顔認証データ、指紋認証データ等)
�A個人に割り当てられた公的番号(運転免許証番号、旅券番号等)
*民間サービスに用いられる番号(クレジットカード番号・携帯電話番号・電話番号・メールアドレス・携帯端末ID・SNSサービスのID)は個人識別符号に該当しない。
*Eメールアドレスは特定の個人を識別できる場合は、個人識別符号以外の個人情報に該当する。
なお、「データ主体を識別できないようにする方法で匿名化された個人データには、データ保護の基本原則は適用されない」(前文26項)とされており、個人情報保護法の匿名化の扱い(匿名加工情報)よりも緩やかな扱いを認めております(参考:匿名加工情報への対応(第2回):匿名加工情報について)。我が国の個人情報保護法には、匿名加工情報の規律が設けられたため、匿名化やビックデータの取扱いは我が国の方がより制限的といえるでしょう。なお、「匿名化」と似て非なるものとして、「仮名化」があります。「仮名化」は、EU一般データデータ保護規則においても依然として「個人データ」に該当します。
・「匿名化」(anonymous information)(前文26項)
The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes._
匿名の情報、すなわち特定のもしくは特定可能な自然人に関連しない情報、またはデータ主体が特定されないもしくは特定される可能性のない方法で匿名化された個人データをいう。
⇒個人データに該当せずEUデータ保護規則は適用されない。
*匿名化はデータ主体が特定される可能性のない方法でなされる必要があり、単なる記号化・暗号化だけでは「匿名化」と評価されない可能性がある。
・「仮名化」(pseudonymisation)(4条5号)
‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;_
追加の情報を用いなければ、個人データを特定のデータ主体に連結することができないような方法による個人データの処理をいう。ただし、当該追加の情報が別個に保管され、個人データが特定のまたは特定可能な自然人に連結しないことを確保する技術的および組織的な措置が講じられることを条件とする。
⇒依然として個人データに該当する。
‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;_
「処理」とは、自動的な手段であるか否かにかかわらず、個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の「作業」をいう。「作業」とは、取得、記録、編集、構造化、保存、修正又は変更、復旧、参照、利用、移転による開示、周知又はその他周知を可能なものにすること、整列又は結合、制限、消去又は破壊することをいう。
「処理」は、「個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の「作業」をいう。「作業」とは、取得、記録、編集、構造化、保存、修正又は変更、復旧、参照、利用、移転による開示、周知又はその他周知を可能なものにすること、整列又は結合、制限、消去又は破壊すること」をいうとされており、非常に広い概念です。我が国の個人情報保護法における「取得」「利用」「保管」「廃棄・削除」の各段階に該当するものです。
具体的には、クレジットカード情報の保存、メールアドレスの収集、顧客の連絡先詳細の変更、顧客の氏名の開示、上司の従業員業務評価の閲覧、データ主体のオンライン上の識別子の削除、および全従業員の氏名、社内での職務、事業所の住所および写真を含むリストの作成などをいいます。
なお、下記3の「移転」(transfer)は「処理」(processing)に含まれません。
2 「移転」(transfer)
_ _ EU一般データ保護規則上、「移転」についての定義は設けられていませんが、EEA域外の第三国に個人データを移転する場合に用いられる用語です。
_ _ 我が国の個人情報保護法では、「第三者への個人データの提供」(法23条、24条)に該当するか否かが問題とされており、同一法人内での個人データの移転については、たとえ、日本国外への個人データの移転であっても、「第三者への個人データの提供」に該当せず、「外国にある第三者への個人データの提供」(法24条)は問題となりません(利用目的の範囲内の利用であれば問題とならない。)が、EU一般データ保護規則の「移転」(transfer)は、同一法人内のEEA域外への移転についても問題となります。
3 「管理者」(controller)(規則4条7項)、「処理者」(processor)(規則4条8項)
_‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law
「管理者」とは、単独で又は他と共同して、個人データの処理の目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体をいう。(規則4条7項)
_‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;_
「処理者」とは、管理者のために個人データの処理を行う自然人、法人、公的機関、行政機関又はその他の団体をいう。(規則4条8項)
_ 「管理者」は個人情報保護法上の「個人情報取扱事業者」に相当する者です。
「処理者」は個人情報保護法上「委託を受けて個人データを取り扱う者」(法22条、法23条5項1号)に該当します。
「管理者」がクラウドなどのオンラインサービスを利用する場合、クラウド・サービスのプロバイダーは「処理者」となる点に留意が必要です。
これに対して、個人情報保護法では、個人データを取り扱わない限り、「委託を受けて個人データを取り扱う者」には該当しないこととされています(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A)。
Q5−33 個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システ ムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人 データを第三者に提供したものとして、「本人の同意」(法第 23 条第1項柱書)を得る 必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第 23 条 第5項第1号)しているものとして、法第 22 条に基づきクラウドサービス事業者を監 督する必要がありますか。
A5−33 クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用 が、本人の同意が必要な第三者提供(法第 23 条第1項)又は委託(法第 23 条第5項第1 号)に該当するかどうかは、保存している電子データに個人データが含まれているかどう かではなく、クラウドサービスを提供する事業者において個人データを取り扱うことと なっているのかどうかが判断の基準となります。 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなってい る場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、 「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱 いの全部又は一部を委託することに伴って・・・提供される場合」(法第 23 条第5項第1 号)にも該当せず、法第 22 条に基づきクラウドサービス事業者を監督する義務はありま せん。 当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている 場合の個人情報取扱事業者の安全管理措置の考え方についてはQ5−34 参照。 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなってい る場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り 扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
なお、法第 24 条との関係についてはQ9−5参照。_
Q9−5 外国にあるサーバに個人データを含む電子データを保存することは外国にあ る第三者への提供に該当しますか。
A9−5 当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わな いこととなっている場合には、外国にある第三者への提供(法第 24 条)に該当しません。 当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約 条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められ ており、適切にアクセス制御を行っている場合等が考えられます(Q5−33 参照)。
Q9−6 外国の事業者が運営するクラウドを利用していますが、サーバは国内にある 場合、外国にある第三者への提供に該当しますか。
A9−6 当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わな いこととなっている場合には、外国にある第三者への提供に該当しません(Q5−33、Q 9−5参照)。 また、当該サーバの運営事業者が、当該サーバに保存された個人データを国内で取り扱 っていると認められる場合には、当該サーバの運営事業者は個人情報取扱事業者に該当 しますので、外国にある第三者への提供に該当しません。_
4 「拠点」(establishment)・「主たる拠点」(main establishment)
「拠点」とは、固定的な体制を通じて、実効的かつ現実に活動を実施する場合、拠点とみなされます。(前文22項)
Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect._
ここにいう「固定的な体制」は、法的形態、すなわち、「支店」か「子会社」であるかを問いません。
「管理者」の「主たる拠点」とは、EEA 域内に複数の拠点がある場合、EEA 域内にある統括管理部門の所在地となります。ただし、個人データのデータ処理の目的および手段に関する意思決定がEEA 域内にある管理者の別の拠点でなされ、かつ当該別の拠点がかかる意思決定をする権限をもっている場合は、その拠点が「主たる拠点」となります。たとえば、企業X(管理者)の複数の拠点のうち、統括管理部門はパリにあるが、ベルリンが処理を担当している場合はベルリンが「主たる拠点」となります。
これに対して、「処理者」の「主たる拠点」は、EEA 域内にある統括管理部門の所在地か、統括管理部門がEEA 域内に存在しない場合は、EEA域内にある処理者の拠点は、GDPR が定める特定の義務が処理者に適用される限りにおいて、主たる処理業務が行われる場所となります。たとえば、企業Y(処理者)の統括管理部署の所在地は不明だが、データ処理がベルリンで行われている場合には、ベルリンが「主たる拠点」となります。