EUデータ保護規則(GDPR)―用語の定義:本人の同意がより厳しくなっています!

EUデータ保護規則は、第4条で用語の定義をしています。指定では8項目について定義がありましたが、規則では26項目に増えて精緻になっています。指令と規則で共通する8項目については、そのほとんどが実質的に変わりはありません。注意しなければならないのは、データ主体の「同意」がより厳しくなっている点です。

個人データ(Personal data)

第4条(1)は次のように定義しています。

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

「個人データ」とは、特定されたまたは特定可能な自然人(データ主体)に関するすべての情報をいう。特定可能な自然人とは、特に名前、認識番号、位置情報、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有な1つ以上の要素を参照することにより、直接的または間接的に特定できる者をいう。

指令の定義(第2条(a))と大きく変わりはありませんが、細かな違いがあります。位置情報とオンラインIDが例示として加えられている点です。指令でも、これらは個人データとして捉えられるのが一般でしたが、規則によって明確化されました。

「データ主体」とは、「特定されたまたは特定可能な自然人」をいいますが、これは日本の個人情報保護法の「本人」に該当する概念と捉えておけばよいでしょう。

続きを読む →