14 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回と次回は、GDPRにおける「個人データ」(personal data)および「データ主体」(data subject)の意味について解説します。^[1]

Q1： GDPR上、「個人データ」とは何ですか？

A2: 特定のまたは特定可能な個人に関連する情報で、GDPRの保護対象となる情報です。

【解　説】

GDPR上、「個人データ」(personal data)とは、特定の（identified）または特定可能な(identifiable)個人（natural person）（データ主体：data subject）に関係する(relating to)情報を意味すると定義されています（4（1）前段）。

すなわち、個人の特定性を基準とし、ある個人が特定可能であればそれに関係する情報は個人データに該当することになります。これに対し、日本の個人情報保護法（「日本法」）上の「個人情報」(2(1))は、個人識別符号も含め特定の個人を識別できる情報であり、情報の個人識別（特定）性を基準とします。

なお、上記定義中の"natural person"の直訳は「自然人」です。しかし、"natural person"は、"legal person"（法人）に対する用語として用いられています。日本語としては"individual"と同様「個人」の意味であり、そう訳した方が違和感がありません。そこで本Q&Aでは原則として「個人」と表記します。

Q2：上記の説明だけではよく分かりません。「個人データ」の意味を、より具体的に説明して下さい。

A2: はい。ある個人が、氏名等に限らず、Cookie IDを含め、何らかのIDまたは要素により他人から区別可能であれば、それに紐づけ・関連付けその他関係する情報はGDPR上の「個人データ」ということになります。

【解　説】

以下に関係するGDPRの本文の規定および前文の要旨を記します。

①「特定可能な個人」の意味（4（1）後段）：次のような要素を参照することにより直接的または間接的に特定可能な個人をいう。

(a) 氏名、識別番号(identification number）、位置データ（location data）、オンラインID（online identifier）等の識別子（identifier）

(b) 個人の身体的、生理的、遺伝的、精神的、経済的、文化的または社会的な同一性（identity）に特有の要素

②「オンラインID」の例と個人との関連性（前文30)： 個人は、IPアドレス（internet protocol addresses）／Cookie ID／RFIDタグ（radio frequency identification tags）等、個人のデバイス／アプリケーション／ツール／プロトコル等のオンラインID（online identifiers）に関連付ける(be associated with）ことができる。

③ 個人の特定可能性の判断要素（前文26)：ある個人が特定可能（identifiable）か否かは、その者を複数の者の中から選り出す（single out）こと等、管理者または他の者が個人を特定するため合理的に利用可能な全ての手段を考慮しなければならない。この利用可能性は、問題のデータ処理時点で利用可能な技術と技術の進展、特定に要する費用・時間等を考慮して判断しなければならない。

【以上を総合すると】以下のように言うことができます。

・ GDPR上、ある個人が特定可能であればそれに関係する情報は個人データに該当する。ここで、個人は、必ずしも氏名等によりどこの誰かが分かっている必要はない。もしろ、氏名は個人を特定するための識別子(identifier)（あるものを他のものから区別するための符号）[2]の一つにすぎず、個人は、例えば、アルファベットと数字の組合せに過ぎないCookie[3] IDにより特定可能である。

・ GDPR上、ある個人が特定可能か否かは、以下が考慮されて判断されることから、個人の特定可能性は相当低くてもよい。

(a) その個人を「複数の者の中から選り出す（single out）」ことができればよい。すなわち、名前やどこの誰か等が分からなくても「他の者と区別(distinguish) 」 (英国監督機関ICOのサイトの”What are identifiers and related factors?”にある表現）できればよい。

(b) その管理者（企業等）のみならず「他の者」が個人を特定するため合理的に利用可能な全ての手段を考慮する。例えば、管理者自身の情報だけでは個人特定不能としても他人にその保有情報を提供させそれと組み合わせて個人特定可能なら個人特定可能と言い得る(後記A4も参照)。

(c)「技術の進展」を考慮する。すなわち、現在は個人特定不能としても、将来のある時点から利用可能となった技術によりその時点以降は個人特定可能となる可能性がある。

Q3: 日本の個人情報保護法（「日本法」）上は、Cookieは個人情報に該当しないと思いますが、GDPR上はどうですか？

A3：GDPR上、ユーザの前回のサイト上での操作（例：買い物かごに入れる）やオンライン行動履歴(例：各サイトの閲覧履歴)を記録・保存するため利用されるCookie ID、および、これに紐づけられた操作・行動履歴は個人データに該当します。なお、GDPR上の個人データに該当するか否かを問わず、企業がWebサイト・アプリ等でCookieを利用するには、ePrivacy指令(5(3))上、原則としてユーザの事前同意を要します。

【解　説】

日本法上の「個人情報」(2(1))は、個人識別符号も含め、特定の個人を識別できる情報であり、GDPRのように個人の特定性というより情報の個人識別性（特定性）を基準としています。Cookie IDはアルファベットと数字の組合せに過ぎないので、それ単独では特定の個人を識別できる情報とは言えず、従って、日本法上の「個人情報」には該当しません。[4]

一方、GDPR上は、前述の通り、ある個人がCookie IDを含めID等により特定可能ならそれに関係する情報は全て個人データに該当することになります。ユーザの前回のサイト上での操作（例：買い物かごに入れる）やオンライン行動履歴（例：各サイトの閲覧履歴）を記録・保存するため利用されるCookieのIDは、それを発行するサーバの運営者にとり、そもそも、あるユーザを他のユーザと区別(distinguish)するために利用しているので、Cookie ID自体も、これに紐づけられた操作・オンライン行動履歴、更にそれを元に作成された個人のプロファイル情報（個人の嗜好関心・推定年齢層その他属性情報等）も、個人データに該当することになります。

また、本Q&A第7回および第8回で解説した通り、GDPR上の個人データに該当するか否かを問わず、企業がWebサイト・アプリ等でCookieを利用するには、ePrivacy指令(5(3))上、原則としてユーザの事前同意を必要とします。

Q4: 日本法上の個人情報の第三者提供に関しては、個人情報保護委員会が、提供情報が「個人情報」か否かは提供元を基準に判断されるという考え方（提供元基準）を示しています[5]。GDPR上はどうですか？

A4: GDPR上は、特定の誰かを基準に「個人データ」か否かを判断するとの規定はありません。しかし、EU司法裁判所(CJEU)の判断からすれば、少なくとも、管理者自身が保有する情報が、それだけでは個人特定不能としても、管理者が他人にその保有情報を提供させそれと組み合わせて個人特定可能なら、当該管理者保有情報は「個人データ」と言えます。

【解　説】

前述の通り、GDPR上「個人データ」とは①特定可能な個人に②関係する情報を意味するので、①の個人特定性が「個人データ」に該当するか否かの最も重要な要件と言えます（②の「関係する(relate to)」の意味・程度の解釈問題はあるが一般に広く解釈されている）。

そして、この個人特定性の判断については前述(A2)の通り、GDPR前文(26)で、管理者（その情報処理が問題とされる企業等）のみならず「他の者」が個人を特定するため合理的に利用可能な全ての手段を考慮するとされています。この「他の者」の意味については以下のいずれかのアプローチ（解釈・説）が考えられますが、文言上明確ではありません。

(a) 客観的/絶対的(objective/absolute)アプローチ：「他の者」には管理者と全く無関係な第三者を含む。すなわち、管理者自身が利用可能な手段だけでは個人を特定できないが、世界中の誰かにとり合理的に利用可能な手段により個人を特定可能であればその個人に関係する情報は「個人データ」に該当する。

(b) 主観的/相対的（subjective/relative）アプローチ: 「他の者」とは管理者がその保有情報の提出を要求できる第三者を意味する。すなわち、個人特定性はあくまで管理者自身を基準（中心）に考える。

しかし、GDPR前文にあえて「他の者」が挙げられていることから考えれば、少なくとも管理者自身が現に有している情報等しか考慮しない（純粋な主観的/相対的アプローチ）という解釈ではないことは明らかです。

GDPRの「個人データ」の定義(4(1))は基本的にその前身である「データ保護指令」の「個人データ」の定義(2(a))と基本的に同じ（GDPR前文26と指令前文26も）ですが、同指令上の「個人データ」の意味に関し以下の欧州司法裁判所(CJEU)の判断が示されています。これからすれば、CJEUは少なくとも、管理者自身の情報だけでは個人特定不能としても他人にその保有情報を提供させそれと組み合わせて個人特定可能なら個人特定可能と言い得ると判断しているものと思われます。一方、このCJEUの判断が、上記(a)の客観的/絶対的アプローチを全く否定したのか、(b)の主観的/相対的アプローチを全面採用したのかは依然明確ではないと思われます。

【2016年CJEU先決裁定[6]】　（争点）　ドイツ連邦政府（「独政府」）は、その運営するWebサイトのセキュリティーのため、同サイトに訪問したユーザの（動的）IPアドレス[7]を取得・保有する。インターネットサービス・プロバイダー（「ISP」）（ユーザとのプロバイダ契約に基づきIPアドレスを割り当てる）は当該ユーザを特定できるが、独政府は、このIPアドレス単独では個人を特定できない。この場合、当該IPアドレスは独政府にとり個人データに該当するか。（CJEUの判断） ドイツ法上、Webサイト運営者（独政府を含む）は、そのサイトにサイバー攻撃を受けた場合、ISPから情報を入手し自己保有のIPアドレスと照合し当該ユーザを特定できる。従って、この場合、サイト運営者は、個人（ユーザ）を特定するため合理的に利用可能な手段を有すると言えるから、当該IPアドレスはサイト運営者にとり個人データに該当する。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第9回はここまでです。次回も今回に引き続き、GDPR上の「個人データ」概念に関し解説します。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号掲載予定

『注解付きCalifornia Consumer Privacy Act of 2018「カリフォルニア州消費者プライバシー法（CCPA）」私訳』　‘20/4/1

『「カリフォルニア州消費者プライバシー法（CCPA）規則」(案)（2020年3月11日公表第3次案)私訳』　‘20/4/1

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号(Vol. 48, No.4) p.536-539

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ > 法務ニュース, 2020/03/27

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号(Vol. 48, No.2) p 222-225

^[8]

【注】

^[1]【本稿の主な参考資料】　浅井敏雄「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　II-A

[2] 【識別子(identifier)の意味】　（参考）識別子とは - IT用語辞典 e-Words, 識別子 - Wikipedia

[3] 【Cookieの意味・機能】　Cookieとは、Webサイト等のサーバ（コンピュータ）からサイト訪問者のパソコン等にブラウザ等を通じ自動的に書き込まれおよび読み込まれるID（Cookie ID）およびこのIDと紐づけられたデータまたはその仕組みを意味する。Cookieは、WebサービスにユーザがIDやパスワードを毎回入力せずに利用できる等ユーザの利便性目的、サイト閲覧等ユーザのオンライン上の行動履歴に基づくターゲティング広告目的等で企業・公的機関を問わず非常に広く利用されている。（より詳しくは以下の図解付き解説も参照）浅井敏雄「もしリクナビ問題がEUで起こったら」3(1).(Cookieとは)　（セッションCookieと永続Cookie） Cookieには、セッションCookieと永続Cookieの２種類がある。セッションCookieは、Webサイトにアクセスしている間だけブラウザに一時的に作成され、ユーザがサイトを離れると削除される。一方、永続Cookieはユーザがブラウザを閉じても削除されず、同じWebサイトにアクセスすると再度そのCookieを発行したサーバに同一ユーザのCookieと認識される。ユーザの前回のサイト上での操作（例：買い物かごに入れる）やオンライン行動履歴を記録・保存するために利用されるCookieは後者の永続Cookieである。（参考）「Cookie（Cookie）とセッションとキャッシュの違いは何か？」(2020年3月15日)- 「2.2. Cookie（Cookie）の種類」

[4] 【日本法におけるCookieの「個人情報」該当性】 もっとも、特定の個人を識別できる情報には「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」情報を含む(2(1)一)から、例えば、以下のような場合における情報は「個人情報」に該当する。但し、Cookie IDが単独で「個人情報」に該当するわけではない。

(a) Webサイトを運営する事業者が、Cookie IDと紐づけて収集したオンライン行動履歴やそれに基づいて作成したプロファイルをユーザが登録した情報（氏名、メールアドレス等）と合わせて管理している場合は、それらが全体として個人情報に該当する。（参考）　杉浦健二「Cookieは個人情報に該当するか - リクナビやフェイスブックの事例から問題点を弁護士が解説」　2019年12月06日 Business Lawyers

(b) 上記プロファイルが位置データ等も含み、その個人の興味関心・自宅・勤務地等も特定できるのであれば、当該プロファイルは個人情報に該当し得る。

[5] 【日本法上の提供元基準と個人情報保護法改正案】　2020年3月10日、閣議決定され国会に提出された個人情報保護法の改正案では、提供先で個人データとなると想定される情報（「個人関連情報」）の第三者提供制限が盛り込まれている。（参考）浅井敏雄「個人情報保護法改正案の概要と企業実務への影響」企業法務ナビ > 法務ニュース, 2020/03/27

[6] 【動的IPアドレスの個人データ該当性に関する2016年CJEU先決裁定】　 Patrick Breyer v. Germany [2016] Case C-582/14, 12 May 2016 （参考）(a) Dr. Fabian Niemann, Lennart Schüßler "CJEU decision on dynamic IP addresses touches fundamental DP law questions" 10-2016, Bird & Bird, (b) White & Case LLP - Martin Munz, Tim Hickman and Matthias Goetz "IP addresses may be subject to EU data protection laws" May 19 2016, Lexology, (c) Nadezhda Purtova "The law of everything. Broad concept of personal data and future of EU data protection law"　02 Apr 2018　Informa UK Limited,

[7] 【動的IPアドレス】　「IPアドレス」とはネットワーク上にある機器を識別するためのID（例：「192.168.1.1」）。ネットワーク上の住所のような役割を果たす。「動的IPアドレス」（変動IPアドレス）とは、ISPが利用者に一時的に割り当てるIPアドレスをいう。インターネットに接続するたびにIPアドレスが変わる。家庭向けインターネット接続サービスでは一般的には動的IPアドレスが割り当てられる。一方、静的(static)IPアドレス（固定IPアドレス）の場合、インターネットの切断と再接続を行っても常に同じIPアドレスが割り当てられる。一般的に動的IPアドレスに比べて利用料が高額である。（参考）　「1.2.9 動的IPアドレス・静的IPアドレス」　株式会社Geolocation Technology

（静的IPアドレスの「個人データ」該当性）　2011年既に、CJEUは、「静的IPアドレスを発行したインターネットサービスプロバイダー(ISP)は、同アドレスによりユーザを正確に特定できるから、ISPにとり静的IPアドレスは個人データである」と判示していた。Scarlet Extended (C-70/10, EU:C:2011:771)

[8]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録