EU一般データ保護規則(GDPR)の個人データをわかりやすく解説します
EU一般データ保護規則(GDPR) の個人データとは?
GDPRは個人情報保護法であり、当然その保護の対象は個人データ=個人情報です。
では、個人データとはどのようなものでしょうか。
法人も含むのでしょうか、国籍や居住地は限定されているのでしょうか。
GDPR第4条では以下のように個人データを定義しています。
「識別選定された、又は識別特定され得る自然人に関連するあらゆる情報」
この定義から分かることは、個人データとは「自然人」で「国籍」「居住地」を問わないものということが分かります。
ですので、GDPRの保護する個人データは、日本人たる私達をも含む概念ということになります。
また、自然人ですので、「法人」の情報はどのような処理をしてもGDPR違反にはなりませんし、亡くなった方の情報は含みません(前文第27条)。
そして、この「自然人」のことを「データ主体」といいます。
◆「識別特定され得る個人」の範囲
「識別特定され得る個人」とは、「一定の識別子や属性要素を参照することにより、直接的に、又は間接的に識別特定され得る個人」を言います。
より具体的には、名前や生年月日は当然含まれますし、動画や写真も含まれます。
では、対象の方が閲覧したインターネット上の情報はどうでしょうか。
例えば、WEBサイトのログに記録されたIPアドレスは、他の情報と照らし合わせることにより間接的に識別特定され得る情報であるとされています(欧州司法裁判所 Patrick Breyer vs Germany, CJEU, 19/10/2016)。
◆では、どのような場合にGDPRが適用されるのか?
個人データが上記のような国籍を問わない広い範囲を含む概念であるとすると、いったいどのような場合にGDPRが適用されるのか?という疑問が出てくるかと思います。
例えば、
①日本にしか営業所がないがEU向けに製品を販売している会社にGDPRが適用されるのか?
②日本本社のフランス現地法人が米国向け製品の販売業を営んでいる場合にGDPRが適用されるのか?
等です(①②ともに顧客管理ソフト等で個人データの処理をしていることを前提とします。)。
◆GDPRの地理的適用範囲
早速答えですが、上記①②の会社にはGDPRが適用されます。
これは、GDPR第3条の地理的適用範囲から導かれます。
GDPR第三条は、二つの適用条件を定めています。
まず一つ目は、EEA域内に拠点(データ処理が行われる所で、企業はもちろん、法人格の無い単なる事務所や営業所も含まれます(前文第22条)。)がある場合です。
上記②は個人データとして処理するものは米国人ですが、拠点がフランスにありますので、GDPRが適用されます。
そしてもうひとつ目は、EEA域外の管理者・処理者(下記を参照してください。)でも、EEA域内に存在する個人データの処理を行う場合です。
上記①は、会社は日本にしかありませんが、EEA域内の個人データの処理を伴う事業を行っているので、GDPRが適用されます。
管理者(第4条7項)とは、個人データの処理の目的や手段を決める者をいいます。
処理者(第4条8項)とは、管理者に代わり、実際に個人データの処理を行う者をいいます。