GDPRとは?
GDPRは、個人データの処理と個人データを欧州経済領域(European Economic Area)(以下「EEA」といいます)から第三国に移転するために、満たすべき法的要件を規定しています。前文が全部で173項、本文が全部で99条からなる法典となっていて、GDPRを理解するためには基本概念について理解することが出発点となります。
個人データとは?
個人データ(personal data)とは、「特定されたまたは特定可能な自然人に関する情報」のことをいいます。特定可能な自然人とは、直接または間接的に特定される自然人のことをいいます。特定されたまたは特定可能な自然人は、総称して、データ主体(data subject)と定義され、個人データ保護に対する権利に関する諸権利の行使主体です。
個人データの例は、氏名、識別番号、所在地データ、職業上のEメールアドレス、IPアドレス等のオンライン識別子、身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因が挙げられます。個人の特定につながり得る情報かどうかという基準に照らして個人データに該当するか否かを判断します。
処理とは?
処理とは、自動手段であるかどうかにかかわらず、個人データに対して行なわれる操作をいいます。処理の例としては、収集、記録、組織化、構造化、保管、適応または変更、復旧、参照、使用、伝達による開示、散布、利用可能にする他の方法、整列または結合、制限、削除または破壊が挙げられます。
より具体的には、クレジットカード情報の保存、Eメールアドレスの収集、顧客の連絡先詳細の変更、顧客の名前の開示、上司の従業員業務評価の閲覧、データ主体のオンライン上の識別子の削除、および全従業員の名前、社内での職務、事業所の住所および写真を含むディレクトリの作成も、処理に該当します。
GDPRは、管理者が、個人データの処理に関係する諸原則を遵守することに責任を負い、かつ当該諸原則の遵守を実証することを義務付けています。
移転とは?
「個人データ」の「移転」の概念は、指令およびGDPRのいずれにも定義されていません。個人データを含んだ電子形式の文書を電子メールでEEA域外に送付することは「移転」に該当します。EEA外への個人データの移転は原則として違法です。移転先の国・地域に十分性が認められている場合または適切な保護措置を取った場合等に例外的に適法となります。
管理者と処理者
GDPRの下で、個人データの処理を行なう企業は、管理者または処理者となります。
管理者とは、単独でまたは他と合同で、個人データの処理の目的および方法を決定する自然人または法人もしくは公的規制当局、公的機関またはその他の団体をいいます。例えば、契約関係の義務を果たすために自分の顧客のデータを処理するときには、企業は管理者となります。
処理者とは、管理者の代わりに個人データの処理を行なう自然人または法人もしくは公的規制当局、公的機関またはその他の団体をいいます。例えば、他社のために市場管理ツールのデータ処理を専門としている企業は、管理者に代わって顧客データを処理することで処理者となります。
管理者と処理者は一致することもあります。例えば、自社の従業員について内部調査を行う際に、自社で保管する当該従業員の個人データを閲覧し分析する場合、当該従業員というデータ主体との関係において、当該企業は管理者であり処理者です。この内部調査を外部の法律事務所に委託して行う場合は、当該企業が管理者、当該法律事務所が処理者となります。
個人データの種類
個人データには、「特別カテゴリーの個人データ」、「仮名化データ」という二つの分類があり、それぞれについて説明します。
まず、特別カテゴリーの個人データとは、人種・種族的出身、政治的見解、宗教または哲学的信念、労働組合の組合員資格、遺伝子データ、生体データ、健康または性生活および性的嗜好を表す個人データのことをいいます。GDPRは、特別カテゴリーの個人データの処理を原則として禁止し、GDPR上に定める例外に当てはまる場合にのみ当該処理を適法とします。
次に、仮名化とは、特定されたまたは特定可能な個人に属するものではないことを保障するために、追加情報を別途保管し、かつ技術的および組織的対策の対象となっている限り、かかる追加情報なしには、そのデータがデータ主体に属するものと分からないように個人データを処理することをいい、当該仮名化が施された個人データを仮名化データといいます。仮名化データは依然として個人データに該当します。
例えば、「チャールズ・スペンサーは1967年4月3日に生まれ、2人の男の子と2人の女の子の4児の家族の父である」という文章は「324は、2人の男の子と2人の女の子の4児の家族の父である」というように仮名化することができます。
また、匿名化とは、不可逆的に特定を防止するもので、匿名化データは個人データではなく、またGDPRの範囲内にも入りません。例えば、個人データが暗号化されており、個人の特定につながらない状態とされている場合に、暗号の復元キーは既に廃棄されている場合、暗号化されたデータは「個人データ」に該当しないものとされます。しかし、作業部会は「匿名化」が認められるための基準を非常に厳しいものと考えています。作業部会は2014年に匿名化技術に関する意見書を公表していますが、匿名化のために最善の技術というものはなく、理想的な解決法はケースバイケースで決めるべきであるとしています。
- 第1回:EUで始まる新しい一般データ保護規則「GDPR」とは?
- 第2回:新しい一般データ保護規則概説(2) - GDPRの適用範囲と執行制度
- 第3回:新しい一般データ保護規則概説(3) - 個人データ処理の要件および個人データのセキュリティ
- 第4回:新しい一般データ保護規則概説(4) - データ保護責任者(Data Protection Officer)の要件
- 第5回:新しい一般データ保護規則概説(5)データ保護影響評価およびデータ保護監督当局との事前相談
・IIJ GDPR対策ソリューション
・IIJ DPOアウトソーシングサービス
・IIJコンプライアンスプラットフォーム for GDPR
杉本 武重
バード・アンド・バード法律事務所 ブリュッセルオフィス パートナー弁護士
2004年3月、慶應義塾大学法学部法律学科卒業、司法修習(59期)を経て、2006年10月に長島・大野・常松法律事務所へ入所。2012年6月にシカゴ大学ロースクール法学修士課程を卒業(LL.M)、その後2013年7月オックスフォード大学法学部法学修士課程を卒業(Magister Juris)。 2013年8月ウィルマーヘイル法律事務所ブリュッセルオフィス・シニアアソシエイト。
その後、ギブソン・ダン・クラッチャー法律事務所を経て、2018年にバード・アンド・バード法律事務所ブリュッセルオフィスにてパートナー弁護士に就任。
主な専門分野は、EUカルテル規制・EU企業結合規制を含むEU競争法全般、EUデータ保護法及びEUサーバーセキュリティ、腐敗行為防止コンプライアンス。
特に、日本企業のEUの一般データ保護規則のコンプライアンス対応、個人データの越境移転について数多くの助言を行っており、EUデータ保護法やEUカルテル法に関する講演も数多く行っている。
