トピックス

2018.11.30
NEWS

【GDPR】GDPRにおける「個人データ」

(執筆者:渡邉雅之

(仮訳)
GDPRの地理的適用範囲に関するガイドライン(仮訳)

(モデル例)
個人情報取扱規程(補完的ルール対応)
匿名加工情報取扱規程(補完的ルール対応)
GDPRプライバシーポリシー

(連載)
【GDPR】GDPRに基づくプライバシノーティス・プライバシーポリシー(モデル例も参考に)
【GDPR】十分性認定と個人情報保護委員会の補完的ルール(補完的ルールに基づく個人情報取扱規程・匿名加工情報等取扱規程のモデル例も)
【GDPR】日本企業のGDPRに対する対応(総論)
【GDPR】GDPRにおける個人データ
【GDPR】「地理的適用範囲に関するガイドライン」の仮訳


 GDPRにおける「個人データ」(personal data)とは、識別された又は識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいいます。
 
1.「個人データ」(personal data)の意義
GDPR 4条1号
「個人データ」とは、識別された又は識別され得る個人(「データ主体」)に関するあらゆる情報を意味する。識別され得る個人は、特に、氏名識別番号位置データオンライン識別子のような識別子、又は当該個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
 
(1)対象範囲
 GDPRでは、保護の対象となる自然人のことを「データ主体」(data subject)といいます(GDPR4条1号)。
 GDPRの対象となるのは、「欧州連合内のデータ主体の個人データ」(前文23項)であり、EU域外の国籍・所在地の者の個人データであっても、EU域内に居住する以上は対象となります。たとえば、日本人で日本国内の会社からEU域内の営業所に駐在する従業員の個人データであっても対象となります。
また、短期出張や短期旅行でEEA 域内に所在する日本人の個人データや、日本企業からEU域内に出向した従業員の情報(元は日本からEU域内に移転した情報)も、処理および第三国への移転の制限を受ける個人データに含まれると考えられています[1]
さらに、日本からEU域内に一旦、個人データが送付されると、EUの基準に沿ってEU域内において処理されなければならず、当該個人データを日本へ移転する場合、EUの基準を遵守しなければならないと考えられています。もっとも、EU域内の監督機関は、EU域外の第三国に所在する「管理者」がEU域内の「処理者」へ個人データを送り、その後、元のEU域外の国に当該個人データ(特に、非EU市民のデータである場合)を再度輸出する場合については、GDPRを適用する必要性が低いと考えているようです。[2]
GDPRは、死者の個人データには適用はありません(前文27項)。
 
(2)識別可能性について
 ある自然人(データ主体)が識別され得るかどうかを判断するには、管理者やそれ以外の者が個人を直接または間接的に識別するために合理的に使用可能なすべての手段を考慮する必要があります。また、手段が、個人を識別するために合理的に使用可能であることを確認するためには、費用と時間のような識別に必要な一切の客観的要因および処理の時点で利用可能な技術や技術的進歩を考慮する必要があります(前文26項)。
 「位置データ」や「オンライン識別子のような識別子」が具体例として挙げられていますが、これも「直接的に又は間接的に識別され得る」ための一要素です。「自然人は、インターネットプロトコルアドレス、クッキー識別子、または、無線識別子タグのようなその他の識別子等の、機器、アプリケーション、ツール及びプロトコルによって提供されるオンライン識別子と関連付けられ得る。とりわけ、サーバによって受信されるユニークな識別子その他の情報と組み合わされるときは、自然人のプロファイルを作成し、自然人を識別するために用いられる追跡の余地を残し得るものである。」(前文30項)とされており、オンライン識別子の全てが単独で直ちに個人データとなるわけではありません。
 我が国の個人情報保護法上の「個人情報」は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」(同法2条1項1号:1号個人情報)とされています。
ここにいう「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解されるとされています(「個人情報の保護に関する法律についてのガイドライン(通則編)2-1」(※4))。
 GDPRの「個人データ」の定義の「直接的又は間接的に識別し得るもの」と個人情報保護法の「個人情報」の定義の「他の情報と容易に照合でき、それにより特定の個人を識別することができるもの」のどちらの範囲が広いか一概には言えませんが、いわゆるCookieは個人情報保護法では必ずしも「個人情報」とは言えませんが、GDPRにおいては「個人データ」に該当するものと考えられています。
 
〇参考
個人情報保護法上の「個人情報」

1号個人情報(個人識別符号を含まない個人情報)(法2条1項1号)
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2号個人情報(個人識別符号を含むもの)(法2条1項2号、2項)
①身体的特徴のうち本人認証が可能なもの(顔認証データ、指紋認証データ等)
②個人に割り当てられた公的番号(運転免許証番号、旅券番号等)
*民間サービスに用いられる番号(クレジットカード番号・携帯電話番号・電話番号・メールアドレス・携帯端末ID・SNSサービスのID)は個人識別符号に該当しない。
*Eメールアドレスは特定の個人を識別できる場合は、個人識別符号以外の個人情報に該当する。
 
2.Cookie(クッキー)について
(1)Cookieとは
 Cookie(クッキー)は、ウェブサイトがブラウザにコンピュータまたはモバイルデバイスに保存するように要求する小さなデータです。Cookieを使用すると、ウェブサイトは個人の行動や嗜好を時間の経過とともに「記憶」することができます。
 ほとんどのブラウザはCookieをサポートしていますが、ユーザーはブラウザにおいてCookieを使用しないように設定できます。
(2)ウェブサイトにおけるCookieの用途
 ウェブサイトは主にCookieを、①ユーザーの識別、②ユーザーのカスタム設定の記憶、③ユーザーのサイトを閲覧するときにサイトに入らずにタスクを完了できるようにすること、に使用できます。
Cookieは、オンラインの行動ターゲット広告に使用して、過去にユーザーが検索したものに関連する広告を表示することもできます。
 ウェブページを提供するウェブサーバは、ユーザーのコンピュータまたはモバイルデバイス上にクッキーを格納することができます。ファイルをホストする外部Webサーバは、Cookieを格納するためにも使用できます。 これらのCookieはすべて、http header Cookieと呼ばれます。Cookieを保存する別の方法は、そのページに含まれているJavaScriptコードを使用する方法です。
ユーザーが新しいページを要求するたびに、WebサーバはCookieのセットの値を受け取ることができます。 同様に、JavaScriptコードは、そのドメインに属するCookieを読み取り、それに応じてアクションを実行することができます。
(3)Cookieの種類
ア 存続期間による分類
セッションCookie:ユーザーがブラウザを閉じたときに消去されるCookie
永続Cookie:事前定義された期間、ユーザーのコンピュータ/デバイスに残るCookie
イ 帰属による分類
ファーストタイプCookie: Webサーバによって設定され、同じドメインを共有するCookie
サードパーティCookie:訪問したページのドメインとは別のドメインによって保存されたCookie。このCookieは、Webページがそのドメイン外にあるJavaScriptなどのファイルを参照しているときに発生します。
 
(4)ePrivacy指令
 EUのePrivacy指令(Directive on privacy and electronic communications(通称、e-Privacy Directive))5条3項においては、ユーザーの端末装置に蓄積された情報を保管し、また、それらの情報にアクセスするためには、クッキーの利用目的を分かりやすく説明した上で同意を取得すること(インフォームド・コンセント)が必要です。すなわち、ウェブサイトにおいて、ほとんど全てのCookieや類似の技術(例えば、WebビーコンやFlash Cookieなど)を使用する前にユーザーの同意を取得することが必要です。
 同意が有効であるためには、それは通知され、具体的で自由に与えられなければならず、個人の真の意思を反映するものでなければなりません。
 ただし、①コミュニケーションの伝達を行う唯一の目的のために使用される。通信の伝達を目的とする場合、②ユーザーが明示的に必要とする情報社会サービスの提供者がそのサービスを提供するために絶対に必要な場合には、Cookieについての同意が免除されます。
 29条委員会によれば、同意が明確に免除されるCookieには以下のものがあります。
  • オンラインフォーム、ショッピングカートなどの記入時にユーザーの入力を追跡するファーストパーティのクッキーなどのユーザー入力クッキー(セッションID)、セッションの持続時間または場合によっては数時間に制限される永続Cookie
  • ユーザーを識別する認証Cookie
  • •認証濫用の検出に使用されるユーザー中心のセキュリティCookie
  • セッション中のマルチメディアコンテンツプレーヤーのCookie
  • セッションの間、Cookieのロードバランシング
  • •セッションの期間(またはわずかに長い)の間、言語や設定などのユーザーインターフェイスカスタマイズのCookie
  • ソーシャルネットワークのログインしたメンバーのための第三者のソーシャルプラグインコンテンツ共有Cookie
 
(5)Cookieについての同意の具体例
 Cookieについての同意に関しては、①インフォームド・コンセントを必要とするCookieを使用してウェブサイトの全てのページにCookiヘッダーバナーを掲載し、②Cookie通知のページへのウェブリンクにアクセスできるようにし、③Cookieを使用しているページについて、ユーザーが同意した場合のみコンテンツを表示できるようにすることが考えられます。
 
Cookies
This site uses cookies to offer you a better browsing experience. Find out more on how we use cookies and how you can change your settings.
I accept cookies
I refuse cookies
 
Cookie
このサイトでは、ブラウジングの経験を向上させるためにCookieを使用しています。 Cookieの使用方法と設定の変更方法の詳細については、こちらをご覧ください
私はCookieを受け取る
私はCookieを拒否する
 
(6)GDPRの施行後の状況
 2018年5月25日のGDPRの施行後、ウェブサイトにおいてCookieの同意取得に関するヘッダーバナーを表示するウェブサイトが増えています。
 これは、上記ePrivacy指令による要請に加えて、CookieがGDPRの「個人データ」に該当すると考えられることから、適法な処理としてのデータ主体の同意(GDPR6条1項(a))の取得のためであると考えられます。

[1]JETRO3頁
[2]JETRO 3頁