【データ法】個人データの「処理」 ーGDPR Art 4(2)ー
こんにちは。
お読みいただきありがとうございます。
前回は、GDPRにおける個人データって何?という話を書きました。
こちらのエントリーでも書いたとおり、ぼくは、お客さんから「今回のビジネスって、GDPR上問題ありますか?」といった類の相談を受けたとき、処理される個人データの特定が検討の出発点だと思っています。
次に考えるのが、その個人データの操作が「処理」に当たることを確かめることです。そこで、今回は、個人データの「処理」(*1)とは一体何なのかについて紐解いていこうと思います。
前回のエントリーが個人データというGDPRが適用される「客体」についてのトピックであるとするならば、今回は、GDPRが適用される「行為」についての話かなと思います。
基礎的な話ですが、GDPRの問題を検討するときの足場を固められる機会だと思いますので、良ければ読んでやってください。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
なぜ、個人データの「処理」のことを考えないといけないのか?
これは、GDPRの構造が関係しています。
GDPRは、ある者(=主体)の個人データ(=客体)の処理(=行為)について、ルールを定めた規則です。つまり、GDPRの適用を論じるに当たっては、客体となる個人データを特定するだけでは足りず、主体と行為を確定できなければ、話が始まりません。
例えば、もし、とある個人データの操作が「処理」に当たらないと言えるなら、その操作にGDPRの規制が適用される余地はなく、それ以上のことを検討する必要がなくなります。
つまり、GDPRが適用される客体である個人データを特定した後、個人データがどのように操作されるのかを確認し、「処理」に該当することを確認しなければ、次に進めないのです。
なお、個人データの処理の主体についても検討すべき事項があるのですが、これは、次回以降に書きたいと思っています。
個人データの操作は、ほぼ全て「処理」
もっとも、「処理」の概念は非常に広範であり、想定し得るほぼ全ての操作が「処理」に当たるため、あまり問題になりません。
Art 4(1)に、処理(processing)の定義があります。
和訳だと、こうなります(*2)。
もう考えられる操作のほぼ全てですよね。まあ、精鋭揃いのEUのドラフトマンたちが、網羅できるように草案したのだからそうなります。
記録や保存を伴わない個人データの収集も「処理」なのか?
たまに、お客さんから頂く質問です。
例えば、電子商取引で契約事務の処理のために特定の個人データの提供を受けるが、当該情報はどこにも保存されないようなケースです。他には、「個人データを受け取った後に直ちに削除して保存しないのですが、それでもGDPRが適用されるのですか?」と質問されることもあります。
残念ながら、答えはYESです。
上記のような個人データの収集も「処理」にあたります。
第一に、規定の文言上、記録や保存をしなかろうが、個人データの収集も上記の「処理」に当てはまります。第二に、このことを明言しているEUの諮問機関のガイダンスがあります(*2)。
大事なのは処理の中身を細かく分けて整理しておくこと
というわけで、個人データのあらゆる操作は「処理」に該当するため、該当性の認定のために時間を使いすぎる必要はありません。
むしろ重要なのは、一連の流れで行われる個人データの処理を細かく分けて整理しておくことです。これは、後々の検討に有益です。
なぜなら、GDPRでは、個人データの処理に関する7つの原則を定めているところ(*3)、「処理」の具体的内容に応じて、考慮すべき原則が微妙に異なりますし、そもそも、違反の有無を検討すべき規制が変わってくるからです。
例えば、「顧客リストから新製品に関するDMを送る」という顧客情報(emailアドレス)の処理は、①顧客情報の収集、②その記録・編集・保存、③その検索・使用という3つのフェーズに分かれるはずで、それぞれのフェーズで検討事項が異なります。
そのため、「処理」の該当性に頭を悩ませる必要は全くありませんが、具体的にどのような処理が行われるのかについては、十分に注意を払い頭の中で整理しながら、相談を聞くことが重要だと思っています。
マニアックな話:個人データの匿名化は「処理」に当たるのか?
冒頭にリンクを貼った前回のエントリーにおいて、個人データは匿名化されれば、個人データではなくなることに触れました。
この点に関して、GDPRが制定される以前の英国のデータ保護法(*4)に関して、英国の控訴裁判所が傍論として、個人データの匿名化は、個人データの「処理」に当たらないと述べました(*5)。
匿名化が「処理」に当たらないことのメリットは、GDPR上の根拠なくその匿名化が実施できることなどが考えられます。
しかし、EUの諮問機関はこの見解を明確に否定しています。
匿名化も個人データの更なる「処理」であることには変わりなく、ぼくも諮問機関の見解に賛成です。
おわりに
今回、ぼくがお伝えしたかったのは次の2点です!
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 以前にもどこかで書きましたが、日本の個人情報保護委員会の仮訳では、「processing」を「取扱い」と訳しています。ただ、個人的には「処理」の方がしっくりくるので、「処理」と書かせてもらっています。
*2 Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones
*3 GDPR, Art 5
*4 Data Protection Act 1998
*5 R v Department of Health; ex parte Source Informatics Ltd [2000] 1 All
ER 786
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?