リスクアドバイザリー
GDPRコラム

第4回 GDPRの対象となる個人データとは

2017.06.06

はじめに

前回のコラムでは、GDPRの特徴について、日本における改正個人情報保護法(以下「改正法」という。)との比較もまじえ3点紹介しました(GDPRコラム【第3回】参照)。

今回は、引き続き基礎編として、GDPRの対象となる個人データについてご紹介します。

① 「個人データ」の対象

GDPRにおいて、個人データとは、「識別された、または識別され得る自然人に関するすべての情報」と定義されます(GDPR第4条)。データ単体では個人を識別することができなくても、複数のデータを組み合わせることで個人識別につながると考えられる場合、それらのデータも個人データとみなされます。

改正法における個人情報は、生存する個人に関する、特定の個人を識別することができる情報を指します(改正法第2条)。改正法においても、複数の情報を組み合わせることで特定の個人を識別し得る場合は個人情報に含まれます。

GDPRと改正法とも、法適用の対象となる情報の例示を公表しており、GDPRの例示には、IPアドレス、クッキー識別子等、改正法の例示にはない情報も含まれます。

表1 個人データ/個人情報の主な例示
GDPR
(第4条)
改正法
(改正法第2条第1~2項、改正法施行令第1条)
  • 氏名
  • 識別番号
  • 技術的な情報(GPS、IPアドレス、クッキー識別子など)
  • その他身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
  • 氏名、生年月日
  • 生体データに関する個人識別符号(DNA、顔、虹彩、声紋、歩容、指紋、静脈など政令で定められたもの)
  • 公的機関が生成する個人識別符号(マイナンバー、旅券番号、年金番号、運転免許証番号など政令で定められたもの)

② 対象となる個人データと取扱い

GDPRの対象となる個人データは、EU加盟国など31か国の欧州経済領域(EEA)域内に存在する個人に関する個人データです(GDPR第2条)。国籍や居住地を問わず、EEA域内に短期滞在する出張者や旅行者の情報も対象となります。

上記の対象となる個人データに対し、大きく分類して「取得」、「処理」、「域外移転」に分けられる取扱いをする際に、GDPRの規制を受けることになります(GDPRコラム【第1回】参照)。

③ 取扱いに対し特に配慮が必要な個人データについて

個人データのうち、人種、政治的思想、医療等に関する情報は、他人に漏れた場合に不当な差別につながる恐れがあるとして、本人の明確な同意がある等、追加的に特別な条件を満たさない限り取扱いが禁じられているものがあります(「特別なカテゴリの個人データ」:GDPR第9条)。改正法においても、同様の概念として「要配慮個人情報」が新設されました(改正法第2条第3項)。

同情報については、GDPRと改正法で詳細が記載されています。GDPRの「特別なカテゴリの個人データ」には、労働組合の組合員たる地位や性的指向に関するデータといった改正法の「要配慮個人情報」と異なる情報が含まれている点に注意が必要です。

表2 特に配慮が必要な個人データ/個人情報
GDPR
(GDPR第9条)
改正法
(改正法第2条第3項、改正法施行令第2条)
  • 人種的素性、民族的素性、政治的思想、宗教的信条、哲学的信条、労働組合員資格
  • 遺伝データ、一意な識別を目的とした生体データ、健康に関するデータ、性生活または性的指向に関するデータ
  • 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
  • 身体的、知的または精神的な障害
  • 疾病の予防や早期発見のための健康診断の結果及びその改善のための指導等を受けた事実
  • 刑事事件に関する手続きを受けた事実

おわりに

GDPRは、改正法に比べて対象となる個人データの範囲が広めに定義されており、また、特に配慮が必要な個人データの対象にも違いがあります。GDPR対応に際しては、こうした改正法との違いに配慮して進める必要があります。

GDPRコラム


情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?