15 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回も前回に引き続き、GDPRにおける「個人データ」(personal data)について解説します。^[1]

Q1: GDPR上の「匿名情報」は日本法上の「匿名加工情報」と同じですか？

A1：違います。GDPR上の「匿名情報」（anonymous information）は日本法で言えば「統計情報」等です。GDPRで日本法上の「匿名加工情報」に相当するのは「仮名化」(pseudonymization) されたデータです。

【解　説】

(1) GDPR上の「匿名情報」

GDPR前文26によれば、「匿名情報」（anonymous information）とは以下のいずれかをいいます。

(i) 特定の個人もしくは特定可能な個人に関係しない情報。

(ii) 個人データが、データ主体が特定できないよう匿名化された（rendered anonymous）もの。

そして、この「匿名情報」にはGDPRは適用されないとされています。「個人データ」ではないからです。

(2) GDPR上の「仮名化」

一方、GDPR本文には「仮名化(pseudonymization)」の定義があり次のように定義されています(4(5))。

- 「仮名化(pseudonymization)」とは、個人データを、「追加の情報」を使わなければ、もはや、特定の個人に結び付ける（be attributed to）ことができないように処理することを意味する。但し、以下の両条件が満たされていることを条件とする。

(a) その「追加情報」が別途保管されていること。

(b) 個人データを特定のまたは特定可能な個人に結び付ける（be attributed to）ことができないよう技術的・組織的措置が講じられていること。

(A) 日本法上の「統計情報」

GDPR上の「匿名情報」のように「個人データ」ではないものとして、日本法上考えられるものの一つはいわゆる「統計情報」です。例えば、個人情報保護委員会の『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』のＡ11－１－２では、「統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しない」と説明されています。従って、日本法上の「統計情報」はGDPRで言えば「匿名情報」の一つです。

(B) 日本法上の「匿名加工情報」

日本法上、「匿名加工情報」とは、「個人情報」に対して一定の削除・置き換え等を行ない特定の個人を識別できないよう加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいいます(2(9))。

そして、「匿名加工情報」を作成した事業者には、匿名加工に当たり削除した情報および匿名加工の方法に関する情報（以下「加工方法等情報」と総称する）の安全管理義務が課されています(36(2)) 。従って、少なくとも匿名加工情報を作成した事業者には個人情報を復元することができる情報（「加工方法等情報」等）が残っていても構わないという前提となっています。

従って、日本法の「加工方法等情報」はGDPRの「仮名化」された個人データに係る「追加情報」に、「匿名加工情報」はGDPR上の「仮名化」された個人データに、それぞれ該当することになります。

Q2: GDPRの「匿名情報」と「仮名化」された個人データはそれぞれどのように扱われますか？

A2: GDPRの「匿名情報」は「個人データ」ではないのでGDPRの規制を受けません。一方、「仮名化」された個人データはなお個人データであるとされ他の個人データと同様の扱いを受けます。

【解　説】

GDPRの「匿名情報」は、A2で説明した通り「個人データ」ではないのでGDPR前文26に明記されている通りGDPRの規制を受けません。

一方、GDPR上、「仮名化」された（に過ぎない）個人データは、「追加情報を利用すれば特定の個人のものと分かる（could be attributed to）」以上、なお個人データに該当し(前文26)、GDPRが適用されます。

例えば、企業内の何らかのプロジェクトに従事しているスタッフがその取扱っているデータだけでは個人を特定できないとしても、同一企業の他部署で別途保存されている「追加情報」を利用すれば（それが社内で禁止されているか否かは無関係）個人を特定できるのであれば、そのデータはなお個人データに該当し、当該企業はその「仮名化」された個人データに関し一般の個人データと同様GDPRを遵守しなければなりません。

それでは、何故、GDPRにわざわざ「仮名化」の定義まであるのかと言えば、個人データの仮名化は、個人データ保護上、リスクを低減する（例：仮名化された個人データが漏えい等したとしても「追加情報」まで漏えいしていなければ一応安全）ためのセキュリティー手段の一つであり、管理者等（管理者または処理者）がGDPR上の個人データ保護義務を果たす上で有益である（前文28）とされているからです。

具体的には、GDPR第5条（個人データ処理に関する基本原則）第1項(b)に定めるデータ最小化(data minimisation)や第32条に定める処理のセキュリティー確保のための措置として有益です。

（日本法上の「匿名加工情報」の取扱いとの比較）　日本法上、「匿名加工情報」は、加工方法等情報を利用する等して本人を識別する行為を人為的に禁止する(36(5), 38)ことによりもはや個人情報および個人データではないものとして取扱われています（法的擬制）。

具体的には、匿名加工情報は、利用目的による制限(16)や第三者提供の制限(23)に服さず、また、本人からの開示・訂正・利用停止等の請求権(28～30)の対象外です。

このようにGDPR上の「仮名化」された個人データと日本法上の「匿名加工情報」はその実質が同じであるにもかかわらず、法上の取扱いとしては、前者はなお「個人データ」として扱われ、後者はもはや「個人情報」・「個人データ」として扱われないという違いがあるので注意を要します。

以下、混乱しがちなので、以上の関係を表にまとめました。

	GDPR	日本法
名称	「匿名情報」	「統計情報」
概念・実質	匿名情報　＞統計情報
法上の取扱	非個人データ⇒GDPRの適用なし	非個人情報⇒法の適用なし
名称	「仮名化」された個人データ	「匿名加工情報」
概念・実質	「仮名化」された個人データ = 「匿名加工情報」
法上の取扱	個人データ⇒他の個人データと同じ（但しセキュリティー措置の一つ）	非個人情報⇒限定的規制

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第10回はここまでです。次回は死者・法人の情報と「特別カテゴリーの個人データ」に関し解説します。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号(Vol. 48, No.6) p 822-825

『注解付きCalifornia Consumer Privacy Act of 2018「カリフォルニア州消費者プライバシー法（CCPA）」私訳』　‘20/4/1

『「カリフォルニア州消費者プライバシー法（CCPA）規則」(案)（2020年3月11日公表第3次案)私訳』　‘20/4/1

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号(Vol. 48, No.4) p.536-539

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ > 法務ニュース, 2020/03/27

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号(Vol. 48, No.2) p 222-225

^[2]

【注】

^[1]【本稿の主な参考資料】　浅井敏雄「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　II-A

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録