GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(10) – 「個人データ」の意味(II)

 

今回も前回に引き続き、GDPRにおける「個人データ」(personal data)について解説します。[1]

 

Q1: GDPR上の「匿名情報」は日本法上の「匿名加工情報」と同じですか?

A1:違います。GDPR上の「匿名情報」(anonymous information)は日本法で言えば「統計情報」等です。GDPRで日本法上の「匿名加工情報」に相当するのは「仮名化」(pseudonymization) されたデータです。

【解 説】

(1) GDPR上の「匿名情報」

GDPR前文26によれば、「匿名情報」(anonymous information)とは以下のいずれかをいいます。

(i) 特定の個人もしくは特定可能な個人に関係しない情報

(ii) 個人データが、データ主体が特定できないよう匿名化された(rendered anonymous)もの

そして、この「匿名情報」にはGDPRは適用されないとされています。「個人データ」ではないからです。

(2) GDPR上の「仮名化」

一方、GDPR本文には「仮名化(pseudonymization)」の定義があり次のように定義されています(4(5))。

「仮名化(pseudonymization)」とは、個人データを、「追加の情報」を使わなければ、もはや、特定の個人に結び付ける(be attributed to)ことができないように処理することを意味する。但し、以下の両条件が満たされていることを条件とする。

(a) その「追加情報」が別途保管されていること。

(b) 個人データを特定のまたは特定可能な個人に結び付ける(be attributed to)ことができないよう技術的・組織的措置が講じられていること。

 

(A) 日本法上の「統計情報」

GDPR上の「匿名情報」のように「個人データ」ではないものとして、日本法上考えられるものの一つはいわゆる「統計情報」です。例えば、個人情報保護委員会の『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』のA11-1-2では、「統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しない」と説明されています。従って、日本法上の「統計情報」はGDPRで言えば「匿名情報」の一つです。

(B) 日本法上の「匿名加工情報」

日本法上、「匿名加工情報」とは、「個人情報」に対して一定の削除・置き換え等を行ない特定の個人を識別できないよう加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいいます(2(9))。

そして、「匿名加工情報」を作成した事業者には、匿名加工に当たり削除した情報および匿名加工の方法に関する情報(以下「加工方法等情報」と総称する)の安全管理義務が課されています(36(2)) 。従って、少なくとも匿名加工情報を作成した事業者には個人情報を復元することができる情報(「加工方法等情報」等)が残っていても構わないという前提となっています。

従って、日本法の「加工方法等情報」はGDPRの「仮名化」された個人データに係る「追加情報」に、「匿名加工情報」はGDPR上の「仮名化」された個人データに、それぞれ該当することになります。

 

Q2: GDPRの「匿名情報」と「仮名化」された個人データはそれぞれどのように扱われますか?

A2: GDPRの「匿名情報」は「個人データ」ではないのでGDPRの規制を受けません。一方、「仮名化」された個人データはなお個人データであるとされ他の個人データと同様の扱いを受けます。

【解 説】

GDPRの「匿名情報」は、A2で説明した通り「個人データ」ではないのでGDPR前文26に明記されている通りGDPRの規制を受けません。

一方、GDPR上、「仮名化」された(に過ぎない)個人データは、「追加情報を利用すれば特定の個人のものと分かる(could be attributed to)」以上、なお個人データに該当し(前文26)、GDPRが適用されます。

例えば、企業内の何らかのプロジェクトに従事しているスタッフがその取扱っているデータだけでは個人を特定できないとしても、同一企業の他部署で別途保存されている「追加情報」を利用すれば(それが社内で禁止されているか否かは無関係)個人を特定できるのであれば、そのデータはなお個人データに該当し、当該企業はその「仮名化」された個人データに関し一般の個人データと同様GDPRを遵守しなければなりません。

それでは、何故、GDPRにわざわざ「仮名化」の定義まであるのかと言えば、個人データの仮名化は、個人データ保護上、リスクを低減する(例:仮名化された個人データが漏えい等したとしても「追加情報」まで漏えいしていなければ一応安全)ためのセキュリティー手段の一つであり、管理者等(管理者または処理者)がGDPR上の個人データ保護義務を果たす上で有益である(前文28)とされているからです。

具体的には、GDPR第5条(個人データ処理に関する基本原則)第1項(b)に定めるデータ最小化(data minimisation)や第32条に定める処理のセキュリティー確保のための措置として有益です。

 

(日本法上の「匿名加工情報」の取扱いとの比較) 日本法上、「匿名加工情報」は、加工方法等情報を利用する等して本人を識別する行為を人為的に禁止する(36(5), 38)ことによりもはや個人情報および個人データではないものとして取扱われています(法的擬制)

具体的には、匿名加工情報は、利用目的による制限(16)や第三者提供の制限(23)に服さず、また、本人からの開示・訂正・利用停止等の請求権(28~30)の対象外です。

このようにGDPR上の「仮名化」された個人データと日本法上の「匿名加工情報」はその実質が同じであるにもかかわらず、法上の取扱いとしては、前者はなお「個人データ」として扱われ、後者はもはや「個人情報」・「個人データ」として扱われないという違いがあるので注意を要します

 

以下、混乱しがちなので、以上の関係を表にまとめました。

 

  GDPR 日本法
名称 「匿名情報」 「統計情報」
概念・実質 匿名情報 > 統計情報
法上の取扱 非個人データ⇒GDPRの適用なし 非個人情報⇒法の適用なし
名称 「仮名化」された個人データ 「匿名加工情報」
概念・実質 「仮名化」された個人データ = 「匿名加工情報」
法上の取扱  

個人データ⇒他の個人データと同じ

(但しセキュリティー措置の一つ)

非個人情報⇒限定的規制

 

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」第10回はここまでです。次回は死者・法人の情報と「特別カテゴリーの個人データ」に関し解説します。

 

GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【著者GDPR・Cookie規制関連本】

GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR (下) – GDPRとCookie規制」 2019年11月

【著者の最近のプライバシー関連著作】

カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 –」 『国際商事法務』 2020年6月号(Vol. 48, No.6) p 822-825

注解付きCalifornia Consumer Privacy Act of 2018「カリフォルニア州消費者プライバシー法(CCPA)」私訳』 ‘20/4/1

「カリフォルニア州消費者プライバシー法(CCPA)規則」(案)(2020年3月11日公表第3次案)私訳』 ‘20/4/1

カリフォルニア州消費者プライバシー法(CCPA)の論点 – 個人情報の「販売」とCookie・オンライン広告規制 –」 『国際商事法務』 2020年4月号(Vol. 48, No.4)   p.536-539

個人情報保護法改正案の概要と企業実務への影響」 企業法務ナビ > 法務ニュース, 2020/03/27

​「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号(Vol. 48, No.2) p 222-225

 

[2]

                                 

【注】

 

[1]  【本稿の主な参考資料】 浅井敏雄 「GDPR関連資格CIPP/E準拠 詳説GDPR (上) – GDPRとCookie規制」 II-A

[2]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com(「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄 (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 2021年8月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(38)-自動意思決定ガイドライン   GDPRは, データ主体に対し, プロファイリングを含む個人データの自動意思決定に服さない権利を与えており(22), 第36回Q6,Q7でその概要を解説しました。 この自動意思決定に服さない権利およびプロファイリング(4(4))については, WP29が2017年10月3日に採択し2018年2月6日に修正した“Guidelines on […]
  • 2021年8月15日 Q&Aで学ぶ契約書作成・審査の基礎 第6回 – 定型約款   通常の契約の場合, 一方の当事者から相手方に契約条項を提示し, 相手方がその内容を確認し, 最終的には両者間で契約書の調印(記名押印取交し, 電子契約の取交し等)を行うことにより契約が成立します。しかし, 2020年の民法改正により, Webサービスにおいて用いられる利用規約を含め, 一定の取引条項に関しては, 所定の要件を満たすことによって, […]
  • 2021年8月1日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(37)-データポータビリティーガイドライン   GDPRは, データ主体の権利に関し, 従来のアクセス権等に加え, データ保護指令にはないデータ・ポータビリティーの権利を新設し(20), 本シリーズの第35回でGDPR上の規定を中心としてその概要を解説しました。 この権利については, WP29が2016年12月13日に採択し2017年4月5日に改訂された“Guidelines on the […]
  • 2021年8月1日 Q&Aで学ぶ契約書作成・審査の基礎 第5回 – 契約条文の順番・書き方   初めて一から契約を起草(drafting)する場合、契約の条文構成(順番)や個々の条文の書き方に悩むかもしれません。そこで、今回はそれらについてのヒントについて解説します。 なお、本Q&Aは、全く新任の法務担当者(新卒者や法学部以外の出身者を含む)も読者として想定しているので、基本的なことから解説していきます。   […]
  • 2021年7月15日 GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(36)-異議申立権/自動意思決定に服さない権利   今回は, ①異議申立権, および, ②自動意思決定に服さない権利に関し解説します。    【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 異議申立権とは? Q2: 正当利益等に基づく処理に対する異議申立権とは? Q3: ダイレクトマーケティング目的での処理に対する異議申立権とは? Q4: […]
to top