はじめに
GDPRの対象となる事業者では、EU域内の人の「個人データ」の取り扱いが規制されています。では、この「個人データ」とはどのようなものでしょうか。また、近時話題となっているクッキーは「個人データ」にあたるのでしょうか。
GDPRによって保護される「個人データ」とは
GDPRでは、「個人データ」とは「識別された又は識別され得る自然人に関するあらゆる情報」と定義されています。
この「識別され得る自然人」の例としては、「氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。」とされています。
*Article 4(1)‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
オンライン識別子
前記のとおり、GDPRのArticle 4(1)では、自然人を識別しうるものとしてIPアドレスやクッキーなどの「オンライン識別子」(online identifier)が明記されています。このため、この規定からは、クッキーが、直ちに「個人データ」に該当するようにも思われます。
しかし、クッキーだけでは、直ちに自然人を識別することができるわけではありません。GDPRの他の規定を見ても(Recital(30))、IPアドレスやクッキーといったオンライン識別子は、「他の情報と組み合わされるときは自然人を識別するために用いられる余地を残している」とされるに留まっています。
*Recital(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
IPアドレスやクッキーはどのようなときに「個人データ」に含まれるか
前記のとおり、IPアドレスやクッキーは、他の情報と組み合わされて自然人を識別し得るときは「個人データ」にあたります。
そして、自然人を識別し得るか否かの判断には、「合理的な可能性のある全ての手段を考慮に入れなければならない」とされています。この「合理的な可能性」の有無の判断には、その時点で利用可能な技術と技術の発展を考慮に入れたうえで、識別のために必要な費用・時間など全ての客観的要素を考慮にいれなければならないとされています(Recital(26))。
実際に、どこまでを「合理的な可能性のある手段」と考えるかの判断は、個々の具体的事情によって異なります。
*Recital(26) To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments.
実際の運用について
このように、IPアドレスやクッキーは、単体では「個人データ」にあたらない可能性がありますが、他の情報と組み合わされて自然人を識別し得る場合には「個人データ」にあたります。
そして、この「自然人を識別し得るか否か」の判断には、「合理的な可能性のある全ての手段を考慮に入れなければならない」とされており、どこまでの手段を想定しなければならないかは不透明といえます。
そうすると、実際の運用としては、GDPR違反を問われるリスクを避けるべく、IPアドレスやクッキーなどのオンライン識別子についても、「個人データ」に含まれるものとして、氏名や識別番号と同程度の保護をするべきといえます。