【データ法】個人データの「処理」 ーGDPR Art 4(2)ー
こんにちは。
お読みいただきありがとうございます。
前回は、GDPRにおける個人データって何?という話を書きました。
こちらのエントリーでも書いたとおり、ぼくは、お客さんから「今回のビジネスって、GDPR上問題ありますか?」といった類の相談を受けたとき、処理される個人データの特定が検討の出発点だと思っています。
次に考えるのが、その個人データの操作が「処理」に当たることを確かめることです。そこで、今回は、個人データの「処理」(*1)とは一体何なのかについて紐解いていこうと思います。
前回のエントリーが個人データというGDPRが適用される「客体」についてのトピックであるとするならば、今回は、GDPRが適用される「行為」についての話かなと思います。
基礎的な話ですが、GDPRの問題を検討するときの足場を固められる機会だと思いますので、良ければ読んでやってください。
なお、法律事務所のニューズレターとは異なり、分かりやすさを重視して、正確性を犠牲にしているところがありますので、ご了承ください。
なぜ、個人データの「処理」のことを考えないといけないのか?
これは、GDPRの構造が関係しています。
GDPRは、ある者(=主体)の個人データ(=客体)の処理(=行為)について、ルールを定めた規則です。つまり、GDPRの適用を論じるに当たっては、客体となる個人データを特定するだけでは足りず、主体と行為を確定できなければ、話が始まりません。
例えば、もし、とある個人データの操作が「処理」に当たらないと言えるなら、その操作にGDPRの規制が適用される余地はなく、それ以上のことを検討する必要がなくなります。
つまり、GDPRが適用される客体である個人データを特定した後、個人データがどのように操作されるのかを確認し、「処理」に該当することを確認しなければ、次に進めないのです。
なお、個人データの処理の主体についても検討すべき事項があるのですが、これは、次回以降に書きたいと思っています。
個人データの操作は、ほぼ全て「処理」
もっとも、「処理」の概念は非常に広範であり、想定し得るほぼ全ての操作が「処理」に当たるため、あまり問題になりません。
Art 4(1)に、処理(processing)の定義があります。
‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
和訳だと、こうなります(*2)。
「処理」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。
もう考えられる操作のほぼ全てですよね。まあ、精鋭揃いのEUのドラフトマンたちが、網羅できるように草案したのだからそうなります。
記録や保存を伴わない個人データの収集も「処理」なのか?
たまに、お客さんから頂く質問です。
例えば、電子商取引で契約事務の処理のために特定の個人データの提供を受けるが、当該情報はどこにも保存されないようなケースです。他には、「個人データを受け取った後に直ちに削除して保存しないのですが、それでもGDPRが適用されるのですか?」と質問されることもあります。
残念ながら、答えはYESです。
上記のような個人データの収集も「処理」にあたります。
第一に、規定の文言上、記録や保存をしなかろうが、個人データの収集も上記の「処理」に当てはまります。第二に、このことを明言しているEUの諮問機関のガイダンスがあります(*2)。
大事なのは処理の中身を細かく分けて整理しておくこと
というわけで、個人データのあらゆる操作は「処理」に該当するため、該当性の認定のために時間を使いすぎる必要はありません。
むしろ重要なのは、一連の流れで行われる個人データの処理を細かく分けて整理しておくことです。これは、後々の検討に有益です。
なぜなら、GDPRでは、個人データの処理に関する7つの原則を定めているところ(*3)、「処理」の具体的内容に応じて、考慮すべき原則が微妙に異なりますし、そもそも、違反の有無を検討すべき規制が変わってくるからです。
例えば、「顧客リストから新製品に関するDMを送る」という顧客情報(emailアドレス)の処理は、①顧客情報の収集、②その記録・編集・保存、③その検索・使用という3つのフェーズに分かれるはずで、それぞれのフェーズで検討事項が異なります。
そのため、「処理」の該当性に頭を悩ませる必要は全くありませんが、具体的にどのような処理が行われるのかについては、十分に注意を払い頭の中で整理しながら、相談を聞くことが重要だと思っています。
マニアックな話:個人データの匿名化は「処理」に当たるのか?
冒頭にリンクを貼った前回のエントリーにおいて、個人データは匿名化されれば、個人データではなくなることに触れました。
この点に関して、GDPRが制定される以前の英国のデータ保護法(*4)に関して、英国の控訴裁判所が傍論として、個人データの匿名化は、個人データの「処理」に当たらないと述べました(*5)。
匿名化が「処理」に当たらないことのメリットは、GDPR上の根拠なくその匿名化が実施できることなどが考えられます。
しかし、EUの諮問機関はこの見解を明確に否定しています。
匿名化も個人データの更なる「処理」であることには変わりなく、ぼくも諮問機関の見解に賛成です。
おわりに
今回、ぼくがお伝えしたかったのは次の2点です!
・ GDPRの問題を検討する際に、問題となる個人データの操作が「処理」に当たることを確認する
・ しかし、個人データの操作は、ほぼ全て「処理」に該当する
ここまでお読みいただきありがとうございました。
皆さまのご参考になればうれしいです。
【注釈】
*1 以前にもどこかで書きましたが、日本の個人情報保護委員会の仮訳では、「processing」を「取扱い」と訳しています。ただ、個人的には「処理」の方がしっくりくるので、「処理」と書かせてもらっています。
*2 Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones
*3 GDPR, Art 5
*4 Data Protection Act 1998
*5 R v Department of Health; ex parte Source Informatics Ltd [2000] 1 All
ER 786
免責事項:
このnoteは、ぼくの個人的な意見を述べるものであり、ぼくの所属先の意見を代表するものではありません。また、法律上その他のアドバイスを目的としたものでもありません。noteの作成・管理には配慮をしていますが、その内容に関する正確性および完全性については、保証いたしかねます。あらかじめご了承ください。
X(Twitter)もやっています。
こちらから、フォローお願いします!
このほかにも、データ法に関する解説を書いています。
よければご覧ください。
この記事が気に入ったらサポートをしてみませんか?