20 海外法務, コンプライアンス, 情報セキュリティ, 外国法, その他

今回は、GDPRの実体的適用範囲（GDPRが適用される個人データの処理）について解説します。

【目　　次】

（各箇所をクリックすると該当箇所にジャンプします）

Q1: GDPRはどのような個人データの処理に適用？

Q2: 「自動的手段」、「ファイリングシステム」とは？

Q3: GDPRの適用対象が個人データのコンピュータ処理等である理由は?

Q4: GDPRが適用されない個人データの処理もありますか?

Q1: GDPRはどのような個人データの処理に適用？

A1: GDPR 2条1項に、GDPRは次のいずれかの個人データの処理に適用されると規定されています。

(a)その全部または一部が自動的手段（automated means）による個人データの処理

(b)ファイリングシステムの一部であるかまたは一部となる予定の(are intended to form part of）個人データの、自動的手段以外の手段による処理

簡単に言えばGDPRは以下のいずれかに適用されます。

①個人データのコンピュータ処理

②紙ベース等であるが検索可能なファイリングを構成する個人データ（個人情報）のマニュアル（手作業）での取扱い

③紙ベース等であるが検索可能なファイリング用でそれを構成する「予定」の個人データ（個人情報）のマニュアル（手作業）での取扱い

Q2: 「自動的手段」、「ファイリングシステム」とは？

A2: 「自動的手段」はGDPR上定義されていません。しかし、主にコンピュータ（ソフトウェア）による個人データの処理を意味するものと解されます。「ファイリングシステム」は定義があり、日本の個人情報保護法上の「個人情報データベース等」と同様のものと解されます。

【理由】

1.「ファイリングシステム」

先ず、定義がある「ファイリングシステム」（filing system）ですが、以下のように定義されています。

【GDPR上の「ファイリングシステム」の定義】

『「ファイリングシステム」とは、一定の基準に従いアクセス可能な構造化された（structured）個人データのセットを意味し、当該システムが、機能的または地理的に、集中型または分散型（decentralised or dispersed）システムかを問わない。』(4(6))。

【GDPR前文15】

「個人の保護は、....個人データがファイリングシステムに含められまたは含められる予定である場合には手作業の処理（manual processing）による個人データの処理に適用されなければならない。」

【日本の個人情報保護法上の「個人情報データベース等」】

一方、日本の個人情報保護法上、(「個人情報」のうち)「個人データ」とは、個人情報データベース等を構成する個人情報をいう』とされていますが、その「個人情報データベース等」は次の通り定義されています(2(4))。

『この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの.....をいう。

一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(*)』

(*)（個人情報保護法令3(2)）「これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのもの」。(例) 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしたもの（「個人情報の保護に関する法律についてのガイドライン（通則編）」2-4）

【GDPR上の「ファイリングシステム」と個人情報保護法上の「個人情報データベース等」との対比】

両者は以下のように対応すると思われます。

(a) GDPR上の「一定の基準に従いアクセス可能な構造化された」≒個人情報保護法上の「電子計算機を用いて検索することができるように体系的に構成した」／「特定の個人情報を容易に検索することができるように体系的に構成した」

(b) GDPR上の「個人データのセット」≒個人情報保護法上の「個人情報を含む情報の集合物」

以上より、GDPR上の「ファイリングシステム」は日本の個人情報保護法上の「個人情報データベース等」と同様のものと思われます。「ファイリングシステム」には具体的には以下が含まれると解されます。

(a) コンピュータで処理可能なデータベース（システム）

(b) 目次、索引その他により検索可能な(紙ベース等の)ファイリング（システム）

なお、「集中型」、「分散型」は、それぞれ、「集中型」データベース、「分散型」データベース[1]を意味すると解されます。

2.「自動的手段」

GDPR　2条1項の他、以下のような用語の一部として"automated”という言葉が使われています。

(a) "automated processing": （4(4)「プロファイリング」の定義）

(b) "automated decision-making"(22：自動意思決定)

後程の回で解説しますが、「プロファイリング」とは例えばコンピュータによるクレジット・スコアの自動算出、「自動意思決定」とは例えばそのスコアに基づくコンピュータによる自動的な融資可否決定等です。

従って、「自動的手段」とはコンピュータによるデータの処理を意味すると解されます。ダイレクトに「コンピュータによる」と言わないのは、「コンピュータ」ではない（または「コンピュータ」とは呼ばない）データ自動処理システム・仕組みがあり得るということと思われます。

Q3: GDPRの適用対象が個人データのコンピュータ処理等である理由は?

A3: ナチスによるユダヤ人の個人情報のパンチカードを利用した収集や、第二次大戦後のコンピュータによる個人情報の処理の拡大に伴う個人情報の悪用への懸念が背景にあったと思われます。

【解　説】

ナチスは多種多様な手段を利用し公衆を監視・統制しました。その手段の一つにパンチカード[2]によるデータ処理システムを利用した国政調査がありました。この国勢調査において、調査員は、各戸を戸別訪問し、住民の国籍・母国語・宗教・職業等を調査しパンチカードに入力しました。このパンチカードには、ユダヤ人を識別するデータやその処分方法（ガス室・絞首または銃殺による集団処刑等）も記録されユダヤ人大虐殺（ホロコースト：holocaust）に利用されました。（本Q&A第2回Q1参照）

また、第二次大戦後、欧州では、個人情報のコンピュータによる処理の増加等を背景として、1981年に欧州評議会(CoE)の「個人データの自動処理に関する個人の保護に関する条約」（The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）（「条約第108号」）（本Q&A第2回Q3参照）が成立しました。

上記を考え合わせれば、上記のように言うことができると思われます。

Q4: GDPRが適用されない個人データの処理もありますか?

A4: はい。いくつかありますが、例えば以下の個人データの処理には、GDPRは適用されません(2(2))。

①加盟国による一定の安全保障活動上の個人データの処理

②個人が、純粋に私的なまたは家庭内の活動（purely personal or household activity）の過程で行う処理

③犯罪の防止・捜査・探知・訴追または刑罰執行・公安活動上の処理⇒「法執行当局データ保護指令」が適用される。

④EU（という組織の中）の各機関・組織による処理⇒「EU機関データ保護規則」が適用される

上記②については、データ保護指令に関し、EU司法裁判所(CJEU)の以下のような判決（先決裁定）があります。

【CJEU 2003年Lindqvist事件先決裁定要旨】 Lindqvist夫人が、教会でのボランティア活動仲間の氏名その他個人データを夫人の個人サイトに掲載した行為は、インターネット上で公開された個人データは不特定の(infinite)者がアクセスできることから、上記②に該当しない。⇒従って、個人による個人データの処理でもサイト等での公開にはGDPRの適用がある。

今回はここまでです。次回からGDPR第5条の「個人データ処理に関する基本原則」に入っていきます。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

NEW!! 『中国の国家安全保障と「中国サイバーキュリティー法」の執行規定～「公安機関インターネットセキュリティー監督検査規定」の概要～』　企業法務ナビ, 2020/09/24

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「カリフォルニア州消費者プライバシー法(CCPA)の論点-「事業者」概念と域外適用-」『国際商事法務』 2020年8月号

「プライバシーシールド（米国への十分性認定）無効判決の概要と影響～ EU司法裁判所Schrems II事件判決～」企業法務ナビ, 2020/07/31

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[3]

【注】

[1] 【分散型データベース】　（参考）分散データベース | IT用語辞典 | 大塚商会

[2] 【パンチカード】　（参考）パンチカード - Wikipedia

[3]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録