第4条は各用語の定義です。
以下の26個の用語の定義が示されておりますが、「定義」なので、そのほとんどは原文をコピーするしかありません(枠で囲ったところが「定義」の日本語訳です)。
ただ、第4条の説明だけでは不十分だと思われる用語もあり、そういったものは前文やガイドラインで補足できる部分がありますので、そういった部分だけは補足説明を加えています。
と言う訳で、ほぼ法律の条文の仮訳そのままとなってしまいますがご了承ください。なお、仮訳は個人情報保護委員会から引用させていただいております。
第4条:定義
「個人データ」
識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
個人データ(personal data)という言葉は、GDPRでも主人公のような用語ですが、その定義は上のようになっています。
日本の個人情報保護法では「個人情報」、「個人データ」、「保有個人データ」などの定義がありますが、その「個人データ」(個人情報データベース等を構成する個人情報)と定義が異なるので注意が必要です。
まず、対象となるデータ主体(data subject:個人情報保護法でいう「本人」)は自然人となっているので、死者は含まれず、また法人も含まれません。
また、氏名や識別番号(マイナンバーや被保険者番号のようなもの)だけでなく、GPSなどの位置情報、オンライン識別符号(IPアドレスやクッキーなど)により個人が識別できる情報も個人データとなっています。
ここで前文第26項を見てみます。
データ保護の基本原則は、識別された自然人又は識別可能な自然人に関する全ての情報に対して適用されなければならない。追加情報を使用しての利用によって自然人に属することを示しうる、仮名化を経た個人データは、識別可能な自然人に関する情報として考えられなければならない。ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接又は間接に識別するために管理者又はそれ以外の者によって用いられる合理的な可能性のある全ての手段を考慮に入れなければならない。自然人を識別するために手段が用いられる合理的な可能性があるか否かを確認するためには、取扱いの時点において利用可能な技術及び技術の発展を考慮に入れた上で、識別のために要する費用及び時間量のような、全ての客観的な要素を考慮に入れなければならない。それゆえ、データ保護の基本原則は、匿名情報、すなわち、識別された自然人又は識別可能な自然人との関係をもたない情報、又は、データ主体を識別できないように匿名化された個人データに対しては、適用されない。本規則は、それゆえ、統計の目的又は調査研究の目的を含め、そのような匿名情報の取扱いに関するものではない。
一般データ保護規則(GDPR)の前文第26項(個人情報保護委員会による仮日本語訳)
このように、個人に関する情報を「個人データでない」と言い切るには非常に高いハードルが設け得られており、顔や名前が分からなくても、例えば仮名化(かめいか)したデータのように個々人が識別ができれば(例えば、「このデータはA001さんのデータ」と識別できれば)個人データになりえます。
「個人データでない」とするためには、単に仮名化するではダメで、個人が識別できないようは匿名化をしないといけません。
以前、治験や臨床試験のデータはGDPRでは個人データに該当すると書きましたが、その理由がここにあります。
なお、GDPRにおける仮名化(pseudonymisation)と匿名化(anonymisation)と、個人情報保護法の仮名加工情報や匿名加工情報(への加工)は、似たものですが、完全に一致するものではないと思った方が良いと思います。
「思った方が良い」と書いたのは、GDPRにおける匿名化の方法に関する明確なガイドラインがまだ公表されていないことと、個人情報保護法の仮名加工情報は特殊なルールがあるので、完全に一致するものにはなり得ないだろう、という考え(私見)からです。
入口で深堀すると先に進めなくなるので、この辺で止めておきますが、GDPRの個人データは日本の個人情報より定義が広く、氏名や住所がなくても、特定の個人とは紐づかないランダムに振られた番号しかなくても、クッキーしかなくても、それにより個人が(特定できずとも)識別できるデータであれば「個人データ」に該当するというぐらいの認識で良いのではないかと思います。
「取扱い」
自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。
「取扱い」は英語ではProcessingという単語を訳したもので、よく「処理」という訳をされることがありますので、GDPRの訳を見たときに「取扱い」と「処理」という言葉は同じものと認識して、ほぼ間違いないと思います。
個人情報保護法の「取り扱い」と近い概念ですが、GDPRでは、より詳細に定義されています。
「取扱いの制限」
将来におけるその取扱いを限定するために、記録保存された個人データに目印をつけることを意味する。
「取扱いを限定するために、記録保存された個人データに目印をつけること」とのことですが、「目印をつける」という言葉は気にせず、言葉通り、(個人データの)「取扱いを制限すること」と読み進んで問題ないと思っています。
「プロファイリング」
自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。
プロファイリングとは、「この人は〇〇が好きなのではないか?」「こういう政治的思考がある人ではないか?」「こういった種類のウェブサイトをよく閲覧しているから、これに興味があるのではないか?」「こういった薬を飲んでいるから、△△を患っているのではないか?」といった感じで、その人のデータから、その人を一定の集団に分類(セグメント化、クラスター化、層別)し、その結果に基づき自動的に取扱いを変えることと言えると思います。
ターゲティング広告は代表的なプロファイリングですし、信用スコアを使って借金の限度額が決められるのもプロファイリングにあたるでしょう。
GDPRでは、こういったプロファイリングは、特定の条件が整わない限り実施できないことになっています(第22条を参照のこと)。
医療の世界で考えると、疾患ガイドラインや過去の経験に基づき「こういう既往歴があり、今このような治療を受けており、今このような病状である場合は、こういう治療法が最も適している」と医師が判断しているものを、医療ビッグデータとAIを駆使し最適な治療方針を示すことができるような取り組みが盛んにされています。
いわゆる緻密化医療、精密化医療が進めば、このようなことは広く普及していくのかもしれませんが、治療方針をAIに任すようになるとプロファイリングにあたることになると思います。
「仮名化」
追加的な情報が分離して保管されており、かつ、その個人データが識別された自然人又は識別可能な自然人に属することを示さないことを確保するための技術上及び組織上の措置の下にあることを条件として、その追加的な情報の利用なしには、その個人データが特定のデータ主体に属することを示すことができないようにする態様で行われる個人データの取扱いを意味する。
個人を特定できる情報となる識別子(氏名など)を削除し、代わりに別のコードや数字に置き換えたり、削除した氏名などの情報を使ってハッシュ化した値に置き換えたりすることが「仮名化」です。
臨床研究や治験でも普通に仮名化していますよね。
治験においては、被験者の氏名の代わりに「被験者識別コード」を用いますが、これも仮名化の一種です。
「個人データ」のところでも少し触れましたが、仮名化しても個人データであることには変わりはありません。「仮名化した(された)個人データ」と表現できると思います。
日本の個人情報保護法でも、個人データを仮名加工情報にしたものは「個人情報である仮名加工情報」となりますので、「仮名化」と「個人データ」の関係性は同じと言えますね。
なお、GDPRでは、仮名化と匿名化は全く異なる概念です(「匿名化の中に仮名化がある」といった包含関係ではありません)。
日本の個人情報保護法でも「仮名加工情報」と「匿名加工情報」は別の概念になっていますね。
「匿名化」と「仮名化」という言葉自体が「一般的な用語」と「法律的な用語」で意味が異なる場合があり、また文脈によって定義が変わってくるので注意が必要です。
例えば、Phuseによる用語の整理では、「匿名化」の中に「非識別化」があり、その「非識別化」の中に「仮名化」があるような整理になっていました。
なお、医学系研究の倫理指針(人を対象とする生命科学・医学系研究に関する倫理指針)でも、以前は「匿名化」という用語を使ってきましたが、個人情報保護法の「匿名加工情報」と「仮名加工情報」という用語に合わせ、「匿名化」という言葉は使わない方向で改訂がなされました(2022年12月現在)。
「ファイリングシステム」
個人データの構成された集合体であって、機能上又は地理上における集中型、分散型又は散在型の別を問わず、特定の基準に従ってアクセス可能なものを意味する。
日本の個人情報保護法における「個人情報データベース等」と同じような概念だと理解しています。
「管理者」
自然人又は法人、公的機関、部局又はその他の組織であって、単独で又は他の者と共同で、個人データの取扱いの目的及び方法を決定する者を意味する。その取扱いの目的及び方法がEU法又は加盟国の国内法によって決定される場合、管理者又は管理者を指定するための特別の基準は、EU法又は加盟国の国内法によって定めることができる。
管理者の解説は下のページで行っておりますので、併せてご覧ください。
「処理者」
管理者の代わりに個人データを取扱う自然人若しくは法人、公的機関、部局又はその他の組織を意味する。
処理者の解説は下のページで行っておりますので、併せてご覧ください。
「取得者」
第三者であるか否かを問わず、個人データの開示を受ける自然人若しくは法人、公的機関、部局又はその他の組織を意味する。ただし、EU法又は加盟国の国内法に従って特別の調査の枠組み内で個人データを取得できる公的機関は、取得者とはみなされない。公的機関によるそのデータの取扱いは、その取扱いの目的に従い、適用可能なデータ保護の規定を遵守するものとする。
個人データを取得する自然人または法人であり、管理者も処理者も取得者に該当します。
ただし、EU法または加盟国法に従って特別な枠内で個人データを取得できる公的機関は取得者にはなりません。
EU加盟国の各国における医薬品規制当局(ドイツのBfArMやフランスのANSMなど)もGDPRには準拠しなければならないため、例えば副作用情報(仮名化されたデータ)を受け取ると一般的には個人データとして扱うことになり、「管理者」の立場になります。
ただ、多くの加盟国の国内法で、副作用情報を扱うことを法的に定めているので、そのような場合における公的機関の医薬品規制当局は「取得者」には該当しないということになると思います。
「第三者」
データ主体、管理者、処理者、及び、管理者又は処理者の直接の承認の下で個人データの取扱いを承認されている者以外の自然人若しくは法人、公的機関、部局又はその他の組織を意味する。
「データ主体」でも「管理者」でも「処理者」でもない自然人または組織は「第三者」です。
データ主体の「同意」
自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する。
この定義を読んで字のごとく、といった感じですが、日本の個人情報保護法よりも「同意」については詳しく説明されています。
こちらに少し詳しく説明していますので、ご参考ください。
「個人データ侵害」
偶発的又は違法な、破壊、喪失、改変、無権限の開示又は無権限のアクセスを導くような、送信され、記録保存され、又は、その他の取扱いが行われる個人データの安全性に対する侵害を意味する。
法的根拠のないデータの利用や提供、データ漏えいはもちろん、データ主体が有する権利である開示権などに管理者が適切に対応せず、データ主体の権利を行使させないことも個人データ侵害にあたります。
「遺伝子データ」
自然人の、先天的な又は後天的な遺伝的特性に関連する個人データであって、自然人の生理状態又は健康状態に関する固有な情報を与えるものであり、かつ、特に、当の自然人から得られた生化学資料の分析結果から生ずるものを意味する。
前文第34項では以下のように解説されています。
(34) 遺伝子データは、自然人の、先天的な又は後天的な遺伝的特性に関する個人データとして定義される。それは、当の自然人から得られた生体サンプルの分析結果、特に、染色体、デオキシリボ核酸(DNA)又はリボ核酸(RNA)の分析の結果、又は、それらと同等の情報を得ることのできる他の要素の分析結果である。
一般データ保護規則(GDPR)の前文第34項(個人情報保護委員会による仮日本語訳)
「生体データ」
自然人の身体的、生理的又は行動的な特性に関連する特別な技術的取扱いから得られる個人データであって、顔画像や指紋データのように、当該自然人を一意に識別できるようにするもの、又は、その識別を確認するものを意味する。
「健康に関するデータ」
医療サービスの提供を含め、健康状態に関する情報を明らかにする、自然人の身体的又は精神的な健康と関連する個人データを意味する。
前文第35項では以下のように解説されています。
(35) 健康に関する個人データは、データ主体の健康状態と関係のあるデータであって、データ主体の過去、現在及び未来の身体状態又は精神状態に関する情報を明らかにする全てのデータを含む。このデータは、欧州議会及び理事会の指令2011/24/EUに定める医療サービスのための当該自然人の登録過程において、又は、その医療サービスの当該自然に対する提供の過程において収集されるその自然人に関する情報;医療上の目的で自然人をユニークに識別するために自然人に対して特別に割り当てられた番号、シンボル又は項目;遺伝子データ及び生化学的資料を含め、身体の一部又は身体組成物の試験若しくは検査から生じる情報;並びに、例えば、医師その他の医療専門職、病院、医療機器又は体外臨床検査のような当該情報の情報源の別を問わず、例えば、データ主体の疾病、障害、疾病リスク、病歴、診療治療、生理学的状態又は生物医学的状態を示す全ての情報を含む。
一般データ保護規則(GDPR)の前文第35項(個人情報保護委員会による仮日本語訳)
「主たる拠点」
以下のものを意味する。
(a)複数の加盟国に拠点をもつ管理者に関しては、EU域内の管理者の統括管理部門の場所。ただし、個人データの取扱いの目的及び方法の決定がEU域内の管理者の別の拠点で行われ、かつ、当該拠点がその決定を実施する権限をもち、そのような決定を実施する拠点が主たる拠点とみなされる場合を除く。
(b)複数の加盟国に拠点をもつ処理者に関しては、EU域内の処理者の統括管理部門の場所、又は、処理者がEU域内に統括管理部門をもたない場合、処理者が本規則に基づく特別の義務に服する範囲内において処理者の拠点の活動の過程で主要な取扱活動が行われるEU域内の処理者の拠点。
「拠点」については、第3条でも解説しておりますので、併せてご覧ください。
「代理人」
EU域内に拠点のある自然人又は法人であって、第27条に従い、管理者又は処理者から書面によって指名され、本規則に基づく管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者のことを意味する。
管理者・処理者から指名され、管理者・処理者の義務に関して管理者・処理者を代理する、EU域内に拠点のある自然人または法人です。管理者・処理者がEU域内に拠点を持たない時には代理人を指名する必要があります。
「事業者」
その法的形式を問わず、継続的に経済活動に従事するパートナーシップ及び団体を含め、経済活動に従事する自然人又は法人のことを意味する。
「企業グループ」
支配管理する企業及びそれによって支配管理される企業のことを意味する。
「拘束的企業準則」
個人データ保護方針であって、企業グループの中又は共同事業を営んでいる事業者グループの中で、一又は複数の第三国内の管理者又は処理者に対して個人データの移転をするため、又は、一群の個人データの移転をするために、加盟国の領土に設けられた管理者又は処理者によって遵守されるもののことを意味する。
GDPRではEU域内の個人データをEU域外に移転することに制限を設けていますが、いくつかの条件を満たせばEU域外に移転することが認められています。
その条件の1つである拘束的企業準則はBCR(Binding Corporate Rules)と呼ばれ、EU域外のグループ企業への個人データの移転を可能とするスキームです。
「監督機関」
第51条により加盟国によって設置される独立の公的機関のことを意味する。
EU加盟国は、各国において適切な個人データの利用を監督するための公的な機関を設立することになっています。
監督機関は、データ漏えい時の報告を受けたり、制裁金を課したり、データ主体にとっては駆け込み寺となったりします。
フランスのCNILやアイルランドのDPCなど国に一つの機関がある場合と、ドイツのように州ごとに監督機関を置いている場合があります。
「関係監督機関」
以下のいずれかの理由によって、個人データの取扱いと関係付けられている監督機関のことを意味する。
(a)当該監督機関の加盟国の領土上に管理者又は処理者の拠点がある、
(b)当該監督機関の加盟国に居住するデータ主体が、取扱いによって重大な影響を受けている、若しくは、重大な影響を受けるおそれがある、又は、
(c)当該監督機関に異議が申立てられている。
データ主体、管理者、処理者にとって直接関係する監督機関のことを指し、例えばフランス人のデータ主体にとっては原則CNILが関係監督機関になります。
「越境取扱い」
以下のいずれかを意味する。
(a)管理者又は処理者が複数の加盟国に拠点がある場合、EU域内の管理者又は処理者の複数の加盟国の拠点の活動の過程で行われる個人データの取扱い、又は、
(b)EU域内の管理者又は処理者の単一の拠点の活動の過程で行われるけれども、複数の加盟国内のデータ主体に対して重大な悪影響を与え、又は、重大な悪影響を与えるおそれのある個人データの取扱い。
ここでの「越境」(cross-border)の意味は、EU加盟国間での越境であり、EU域内からEU域外への越境という意味ではありません。
「関連性があり理由を付した異議」
本規則の違反行為があるか否か、又は、管理者又は処理者との関係において予定されている活動が本規則を遵守するものか否かに関する決定案に対する異議であって、データ主体の基本的な権利及び自由に関して、並びに、適用があるときは、EU域内における個人データの自由な流れに関して、その決定案によって示されるリスクの重大性を明瞭に述べるもののことを意味する。
「情報社会サービス」
欧州議会及び理事会の指令(EU)2015/1535の第1条第1項(b)に定義するサービスのことを意味する。
主にはオンラインサービスのことです。
「サービス」とは、情報社会サービス、すなわち、通常、報酬を得て、遠隔地で、電子的手段により、サービスを受ける者の個別の要求に応じて提供されるあらゆるサービスをいう。
‘service’ means any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.
DIRECTIVE (EU) 2015/1535 Article 1(b)
For the purposes of this definition:
(i) ‘at a distance’ means that the service is provided without the parties being simultaneously present;
(ii) ‘by electronic means’ means that the service is sent initially and received at its destination by means of electronic equipment for the processing (including digital compression) and storage of data, and entirely transmitted, conveyed and received by wire, by radio, by optical means or by other electromagnetic means;
(iii) ‘at the individual request of a recipient of services’ means that the service is provided through the transmission of data on individual request.
「国際機関」
国際公法によって規律される組織及びその下部組織、又は、その他の組織であって、複数の国の間の協定によって、若しくは、その協定に基づいて、設立されるもののことを意味する。
以上、第4条の定義でした。
お疲れさまでした。
