ここから本文です

国際法務の部屋

個人情報保護法における「個人情報」の定義と、GDPRにおける「個人データ」の定義の相違点

 

1 はじめに

GDPRとは、欧州連合(EU)が定めた一般データ保護規則(General Data Protection Regulation)のことです。このGDPRは2018年5月25日から施行されています。

本稿では、日本の個人情報の保護に関する法律(以下、「個人情報保護法」といいます)で規定されている「個人情報」の定義と、GDPRで規定されている「個人データ」の定義ぶりを比較検討してみます。

 

2 個人情報保護法における「個人情報」について

日本の個人情報の保護に関する法律(個人情報保護法)の第2条1項では、「個人情報」について下記のような定義がなされています。

 

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

 

そして、同法第2条1項2号に定められている、「個人識別符号」については、同法第2条2項において下記のとおり定められています。

この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

 

そして、上記で太字にした「政令」とは、「個人情報の保護に関する法律施行令」のことで、同政令第1条において、下記の通り、「文字、番号、記号その他の符号」について具体的な定めがなされています。

 

(個人識別符号)

第一条 個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。

一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの

イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列

ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌

ハ 虹彩の表面の起伏により形成される線状の模様

ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化

ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様

ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状

ト 指紋又は掌紋

二 旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号

三 国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号

四 道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号

五 住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード

六 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号

七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号

イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証

ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証

ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証

八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号

 

2 GDPRにおける「個人データ」について

他方で、GDPRの第4条(1)には、「個人データ」の定義として、下記のような定めがなされています。

 

「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。

識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

 

3 重要な相違点~オンライン識別子を参照することによって識別される者に関する情報

注意すべきなのは、GDPRの「個人データ」には、「オンライン識別子のような識別子」を参照することによって識別される者に関する情報が含まれることです。このオンライン識別子とは、具体的には、インターネットプロトコルアドレス、クッキー識別子のことです。

日本の個人情報保護法上における、「個人情報」の定義に照らすと、オンライン識別子を参照することによって識別されるものに関する情報は、①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものには該当せず、②個人識別符号にも該当しないことから、「個人情報」には該当するとは言えない場合が多いと考えられます。

このように、GDPRの「個人データ」には、「オンライン識別子のような識別子」を参照することによって識別される者に関する情報が含まれるということは、GDPRが適用される可能性があるウェブサイトを作成・運営する場合で、クッキー識別子を埋め込むような場合は、GDPRに定める個人データを取り扱っていることとなり、取扱いの適法性を担保するための要件(データ主体の同意、契約の履行のため、管理者が服する法的義務の遵守のため等、GDPR第6条)を充足する必要があります。

また、GDPR対応のプライバシーポリシーを英文で作成し、その中でクッキーに関するポリシーを明記しておくことも実務上重要となります。

当事務所では、GDPRに対応した英文プライバシーポリシー、英文利用規約、個人データの処理を外部業者に委託する際の処理契約書の作成等を取り扱っておりますのでお気兼ねなくお問い合わせください。

以上

文責:河野雄介

2019年08月16日 16:03|カテゴリー:

|タグ:

コメントはまだありません

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です