EUデータ保護規則(GDPR)―用語の定義:本人の同意がより厳しくなっています!
EUデータ保護規則は、第4条で用語の定義をしています。指定では8項目について定義がありましたが、規則では26項目に増えて精緻になっています。指令と規則で共通する8項目については、そのほとんどが実質的に変わりはありません。注意しなければならないのは、データ主体の「同意」がより厳しくなっている点です。
Contents
個人データ(Personal data)
第4条(1)は次のように定義しています。
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
「個人データ」とは、特定されたまたは特定可能な自然人(データ主体)に関するすべての情報をいう。特定可能な自然人とは、特に名前、認識番号、位置情報、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有な1つ以上の要素を参照することにより、直接的または間接的に特定できる者をいう。
指令の定義(第2条(a))と大きく変わりはありませんが、細かな違いがあります。位置情報とオンラインIDが例示として加えられている点です。指令でも、これらは個人データとして捉えられるのが一般でしたが、規則によって明確化されました。
「データ主体」とは、「特定されたまたは特定可能な自然人」をいいますが、これは日本の個人情報保護法の「本人」に該当する概念と捉えておけばよいでしょう。
特別な種類の個人データ(Special categories of personal data)
原則
個人データに関連して留意が必要なのは、特別な種類の個人データの処理は、原則として禁止されていることです。いわゆるセンシティブデータです。規則では第9条第1項に規定をされています。下線部分が指令に加えて定められたところです。
Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
人種もしくは民族的出自、政治的見解、宗教的もしくは哲学的信条または労働組合加入を示す個人データの処理、および遺伝子データ、自然人を同定する生体認証データ、健康に関するデータまたは自然人の性生活もしくは性的指向に関するデータの処理は禁止される。
「遺伝子データ」とは、自然人の生理機能または健康に関する特有の情報を伝えている、対象となる自然人の生体試料の分析に特に由来する、自然人の遺伝によるまたは後天的に獲得した遺伝特性に関する個人データを意味します(第4条(10))。
また、「生体認証データ」とは、顔画像や指紋認証データなどのような、自然人の固有識別を可能または確認する自然人の身体的、生理的または行動的な特性に関連する特定の技術処理からなる個人データを意味します(第4条(11))。
例外
第9条第2項が規定する次の例外に該当する場合には、これらの特別な種類の個人データの処理も許されます。指令でも同様の定めがあり、(a)から(f)まではほとんど変更がありません。
(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject; (b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject; (c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; (d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects; (e) processing relates to personal data which are manifestly made public by the data subject; (f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity; (g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; (h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3; (i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy; L 119/38 EN Official Journal of the European Union 4.5.2016 (j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.
(a)データ主体が1つ以上の特定の目的に対する個人データの処理について明示的に同意している場合。ただし、データ主体が第1項にいう禁止を解除することができない旨をEU法または構成国法が規定している場合を除く。
(b)雇用法および社会保障・社会保護法の分野において、管理者またはデータ主体の義務の履行および特定の権利の行使のために処理が必要な場合。ただし、EU法もしくは構成国法またはデータ主体の基本的権利および利益のために適切な安全対策を定めている構成国法に基づき労働協約が認めている場合に限る。
(c)データ主体が身体的もしくは法的に同意をすることができない場合に、データ主体またはその他の自然人の重大な利益を保護するために、処理が必要な場合
(d)政治的、哲学的、宗教的または労働組合の目的を有する財団、協会またはその他の非営利団体による適切な安全対策を備えた正当な活動の過程で、処理が行われる場合。ただし、その処理は、団体の構成員、元構成員または団体の目的について団体と定期的な接触のある者にのみ関するもので、かつデータ主体の同意を得ないで団体以外に個人データが開示されないことを条件とする。
(e)処理がデータ主体により明白に公にされた個人データに関する場合
(f)法的請求の構築、行使もしくは防御または裁判所の司法機能における活動のために、処理が必要とされる場合
(g)追求する目的に比例し、データ保護への権利の本質を尊重し、データ主体の基本的権利及び利益の保護に適合する特定の措置を定めるEU法又は構成国法に基づき、重要な公共の利益上の理由により、処理が必要な場合。
(h)EU法もしくは構成国法または医療従事者との契約に基づき、第3項にいう条件および安全対策を満たす、予防的もしくは職業上の医療目的、従業員の労働能力の評価、医学的診断、医療・社会的介護もしくは治療の提供または医療もしくは社会的介護・サービスの経営のために、処理が必要な場合。
(i)データ主体の権利および自由、特に専門的な秘密の保護に適合する特定の措置を定めるEU法または加盟国法に基づき、越境的な健康への深刻な脅威に対する保護または医療および医療製品または医療機器の質および安全性に係る高い基準の確保といった、公衆衛生の分野における公共の利益上の理由により、処理が必要な場合
(j)追求する目的と比例し、データ保護への権利の本質を尊重し、データ主体の基本的権利および利益の保護に適合する特定の措置を定めるEU法または構成国法に基づき、第89条(1)に合致する公共の利益における目的、科学的もしくは歴史的研究目的または統計目的を達成するために、処理が必要な場合
さらに、第9条第3項では、第1項の個人データは、第2項(h)にいう目的のために処理ができることが定められています。もっとも、この際にはEU法もしくは構成国法または国の管轄機関が定めた規則により、職業上の守秘義務を負う専門家や守秘義務を負うその他の者の責任の下で行われることが必要です。
なお、第9条第4項によって構成国がさらに例外を規定することも許されていますので、日本企業がこうした個人データの処理をする場合には、構成国の法律を確認する必要があります。
処理(Processing)
処理は、指令の定義とほとんど変わりはありません。第4条(2)は次のように定めています。
‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
「処理」とは、自働化された手段によるか否かを問わず、収集、記録、組織化、構造化、保管、修正もしくは変更、復旧、参照、りうよう、伝送による開示、周知あるいはその他の方法による提供、整列もしくは結合、制限、消去または破棄といった個人データまたは個人データの集合に関して行われる操作または操作の集合をいう。
管理者(Controller)
管理者は、指令のときと定義に関して変更はありません。第4条(7)は次のように定めています。
‘‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
「管理者」とは、単独でまたは他と共同して、個人データの処理の目的および手段を決定する自然人もしくは法人、公共機関、政府機関またはその他の団体を意味する。当該処理の目的及び手段がEU法又は構成国法によって決められている場合、管理者またはその選任についての特定の基準は、EU法または構成国法によって定めることができる。
処理者(Processor)
処理者も、指定のときと定義に関して変更はありません。第4条(8)は次のように定めています。
‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
「処理者」とは、管理者のために個人データを処理する自然人もしくは法人、公共機関、政府機関またはその他の団体を意味する。
同意(Consent)
最初に書きましたように、「同意」の定義はより厳しくなっています。実務に影響があると思われます。第4条(11)は次のように定めています。下線部分が変更された箇所です。
‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;
データ主体の「同意」とは、声明または明らかに積極的な行為により、その者が同人に関する個人データの処理への同意を表明することによって、データ主体の自由になされた特定の十分に情報を知らされた上でのかつ明確な意思表示を意味する。
「明確な」意思表示が必要とされますので、いわゆる「黙示」の同意は「同意」には含まれないと解釈すべきだと思われます。
同意をする方法は、”by a statement or by a clear affirmative action” と書かれていて、これを「声明または明らかな積極的な行為により」と訳しましたが、具体的な方法が前文の32項で説明されています。書面(電子的手段によるものを含む)だけではなく、口頭でもよく、ウェブサイトでボックスにチェックをすることも含まれます。沈黙、チェックをしたボックスまたは不作為は、同意にはなりません。処理が複数の目的を持つ場合には、同意はすべての目的に対してなされなければなりません。
また、同意を取得する条件は、第7条でより明確化され、子供の同意についても新しく規定が定めらています。これについては、また別なときに説明します。
まとめ
規則を解釈する際に、繰り返し出てくる用語は第4条の定義で説明されています。解釈を誤らないためには、常に用語の定義で確認をするほうがよいでしょう。
同意については、同意取得の条件を定める第7条と未成年者の同意を定める第8条もあわせて読むようにすべきでしょう。
2016年9月29日更新:処理を追加
2016年10月26日更新:条文に英文の原文を追加