ニュース 法律 作成日:2018年5月30日_記事番号:T00077315
産業時事の法律講座EUデータ保護規則(General Data Protection Regulation、GDPR)が2018年5月25日より施行されました。この規則は、あらゆる個人データを最高レベルで保護するために設けられたもので、たとえEUの企業でなくとも、EU市民の個人データの収集、処理、およびその越境移転を行う際には、同規則を順守しなければならないことから、世界中の大企業がこの規則にのっとった個人データ保護(プライバシー)政策を発表、実施を始めています。
GDPRにおける「個人データ」には、個人(自然人)の電話番号、住所、車両番号、医療カルテ、指紋、顔情報、虹彩の模様、写真、映像、メールアドレス、アンケート結果などが含まれるほか、個人としての社会的、文化的アイデンティティー、地理的位置なども含まれるとされており、またこれらの個人データを用いれば、ある自然人(データ主体)が「直接的にまたは間接的に、識別され得る」ものであるとされています。つまり収集された個人データから「ある自然人」が識別できない場合は、同個人データはGDPRの規範するものではないということになります。
出所そのものが個人データ
しかし、企業が収集したデータから個人を識別することはできなくても、そのデータの出所そのものが個人データに当たるということには気を付けなければなりません。さまざまな情報がコンピューターによって処理されるシステムの下では、情報の出所である個人にたどり着くことは決して難しいことではありません。また、企業がそれらのデータを収集する目的は、通常は後日の「応用的利用」にあるわけですから、利用時に個人にたどり着けるようにしておかなければ、データを収集する目的も果たせないわけです。
たとえば、パーソナライズされたサービスは、個人の過去の行動記録を分析することでその需要を予測し、必要と思われるサービスを提案することで成り立っていますが、ビッグデータの収集から分析に至るまでの処理過程においては、それらのデータは個人データとは関わりないものです。しかしサービスの提案を受けた個人がそのサービスを享受する場合には、データ主体である個人の側から個人データを別途提供してもらわなければ、企業側としてはサービスを提供することも、その支払いを受けることもできません。つまりこの段階において個人データのやり取りが発生するわけです。
仮名化で条件緩和
GDPRは大規模な産業上の運営と個人に関するデータの利用について、いくつかの新しい概念を提供しています。そのうちの一つがいわゆる仮名化(pseudonymization)処理です。GDPRでは、収集したデータを仮名化することで、前述よりも緩い規定を適用できる旨が定められています。
仮名化とはその名称のとおり、個人のアイデンティティー情報を仮名と置き換えることで、個人データから個人を直接特定することをできなくすることを指します(ここで言う「仮名」とは「匿名〈個人のアイデンティティーを匿名化すること〉」とは異なります)。
また、仮名化されたデータは「追加の情報を用いなければ、個人データを特定のデータ主体に連結することができない」ものとなっていなければなりませんし、この「(個人を特定するために必要な)追加の情報」は、仮名化されたデータとは別に保管されなければなりません。それには、仮名化されたデータで個人が特定されないように、技術的、組織的措置を講じておかなければなりません。
このような規定が設けられていることからも分かるように、仮名化されたデータは、あくまでも個人データなのですが、例外的に比較的取り扱いがしやすい規定が設けられているというだけなのです。
データセンターを活用
GDPRには「特定の、明確かつ合法な目的」に基づいた場合のみ、個人データの収集、処理を行うことができるとの規定が設けられています。ここでいう「特定」「明確」とは、通常は個人データの資料主が同意したデータの使用方式のことを意味していますが、前述の仮名化を行うことで、同データに対してその延長上の応用をすることが可能となります。つまり資料主が同意したデータ収集の目的とは異なる使用がされ得るということです。
このような規定が設けられていることにより、例えば仮名化を解除することが不可能であるような「完全な仮名化」を前提とした資料の収集、処理を行うシステムを構築することで、データを収集する企業側としてはGDPRの規定に違反する可能性を大幅に減らすことができます。
実際の処理方法としては、例えば、仮名化を専門に行うデータセンターを通じて各種データの収集、蓄積、分析を行うといった方法が考えられます。この種のデータセンターは、データの資料主にたどり着ける可能性のある一切のデータを受け付けないことを前提としているため、企業側がデータの分析を要求する場合でも、企業から送られてくるデータはすでに仮名化されており、データセンターはその仮名化されたデータに対する分析結果を提供することとなります。分析結果とデータの資料主との間の「関連性」については、各企業が顧客との間で契約を締結することで処理することとなります。
現状を考える好機に
データマイニング(Data Mining)技術の飛躍的な発展によって、私たちの個人データ、プライバシーは政府や大企業の前では裸同然の状態になってしまっています。EUがGDPRを施行したことは、このような現状を新しい角度から考える良い機会になるでしょう。また前述の仮名化のような処置もまた、データの応用とプライバシーの間に新しい均衡点を求めたものと言えるでしょう。
徐宏昇弁護士
台湾のコンサルティングファーム初のISO27001(情報セキュリティ管理の国際資格)を取得しております。情報を扱うサービスだからこそ、お客様の大切な情報を高い情報管理手法に則りお預かりいたします。
ワイズコンサルティンググループ
威志企管顧問股份有限公司
Y's consulting.co.,ltd
中華民国台北市中正区襄陽路9号8F
TEL:+886-2-2381-9711
FAX:+886-2-2381-9722