「EUでも提供元基準か提供先基準かが争点になっているぞ」と巷で話題の、EDPS v SRB事件。法務官意見が出たよと聞いたので、Claudeに丸投げしてみた。
事案の背景:
スペインの銀行(Banco Popular)の破綻処理に関連して、株主や債権者の補償請求を処理する過程で、単一破綻処理委員会(SRB)が外部の会計事務所(Deloitte)に仮名化された個人データを提供しました。しかし、SRBはこのデータ移転について当事者に事前の通知を行いませんでした。
主な法的争点:
法務官の見解:
法務官は、これらの理由から、原判決を破棄し、SRBの通知義務違反を認めるべきとの意見を述べています。
この事案は、EUのデータ保護法制において、仮名化データの取り扱いや、データ管理者の透明性義務の範囲を明確にする重要な機会となっています。
第一に、委託と第三者提供の区別について、EU法では「recipient(受領者)」という概念を採用しており、委託先も含めて広く「受領者」として捉えています。これは日本法のように委託先と第三者提供先を明確に区別する考え方とは異なります。
第二に、透明性の原則に関して、EU法では極めて重視されており、データ主体の権利として、自分の個人データがどのように取り扱われるかについて包括的に知る権利が認められています。このため、委託先への提供であっても、データ主体に対する通知が必要とされています。
第三に、仮名化データの取り扱いについて、日本法では「仮名加工情報」として独立した類型を設けていますが、EU法では基本的に個人データの一種として位置付けられています。ただし、本件では仮名化データが個人データに該当するか否かという論点以前に、データ収集時点での通知義務が問題となっています。
本件の特徴的な点は、SRBという EU の機関が、破綻処理という公的な任務の遂行のために、外部の専門家(Deloitte)にデータを提供したという文脈です。日本でも、例えば金融機関の破綻処理において、預金者等の情報を外部専門家に提供する際の取扱いについて、検討の余地があるかもしれません。
このように見ると、EU法は個人の権利保護により重点を置き、データ主体の知る権利を幅広く認める傾向にあるのに対し、日本法は事業者の実務上の負担にも配慮しつつ、より柔軟な規律を採用していると言えます。
本件のような破綻処理における外部専門家の関与は、必ずしも単純な「委託」には該当しない可能性があります。これは以下の理由によります。
第一に、破綻処理における外部専門家の役割は、単なる委託先としての業務遂行というよりも、独立した専門家としての評価・判断を行うという性質を持っています。本件でも、Deloitteは"independent person"として関与しており、SRBの指示に従うだけでなく、独立した立場から評価を行うことが求められています。
第二に、日本の金融機関の破綻処理においても、預金保険機構等が外部の専門家に依頼して財産評価等を行う場合がありますが、これは単純な業務委託というよりも、独立した専門家としての判断を求めるものと解釈できます。
第三に、このような独立した専門家による評価は、破綻処理という公的な性格を持つ手続きの一環として行われるものであり、通常の事業者間の業務委託とは異なる性質を持っていると考えられます。
したがって、日本法においても、このような場合は単純な委託関係ではなく、第三者提供に該当する可能性があります。ただし、その場合でも、法令に基づく場合や、公共の利益のために必要な場合として、本人同意の例外に該当する可能性が高いと考えられます。
このように、破綻処理における外部専門家の関与という特殊な文脈においては、日本法でも、個人データの取扱いの法的性質について、より詳細な検討が必要となる可能性があります。
まず、個人データの定義に関する基本的な枠組みとして、2018/1725規則第3条(1)に基づき、情報が「特定の自然人に関連する」ものであり、かつその自然人が「識別可能」であるという2つの要件を検討しています。
第一の「関連性」要件について、法務官は意見や評価(本件では株主・債権者のコメント)については、その作成者との関連性が推定され得ると述べています。これは、意見の内容・目的・効果を詳細に検討するまでもなく、意見はその作成者の論理や主観的見解を反映しているため、必然的に作成者に「関連する」情報となるという考え方です。
第二の「識別可能性」要件について、より重要な論点は、データ主体への情報提供義務が生じる時点に関するものです。法務官は、この義務はデータ管理者(SRB)とデータ主体との法的関係に基づくものであり、データを収集する時点、遅くともデータの受領者が決定された時点で生じると指摘しています。この時点では、SRBは識別情報を保持しており、データ主体は明らかに識別可能です。
したがって、後にDeloitteに提供される際に仮名化されたとしても、それは当初の情報提供義務の存在に影響を与えないとされます。つまり、Deloitteが実際にデータ主体を識別できるか否かは、SRBの情報提供義務の存否を判断する上では重要ではないとしています。
このように、法務官意見は、個人データの該当性を、データ管理者の義務が発生する時点に着目して判断するという考え方を示しています。これは、データ保護法の目的である透明性の確保と、データ主体の権利保護を重視する解釈といえます。
この理論構成は、個人データの該当性を、データの性質そのものではなく、データ管理者の義務との関係で機能的に捉える視点を提供しており、注目に値します。
破綻処理における評価の役割
Deloitteは、EU規則806/2014に基づく「独立した者」として、Banco Popularの破綻処理において重要な評価業務を担当しています。具体的には、破綻処理された場合と通常の倒産手続きが行われた場合とを比較し、株主や債権者がどのような取扱いを受けることになったかを評価する任務(Valuation 3と呼ばれる評価)を行いました。
仮名化データの具体的な使用
Deloitteは、株主や債権者から提出されたコメントのうち、Valuation 3に関連するものを、フィルタリング、分類、集約された形で受け取っています。これらのコメントには識別子(33桁のグローバルユニーク識別子)が付されていますが、コメント提出者の個人識別情報へのアクセスはありません。
評価への反映
これらの仮名化されたコメントは、Deloitteが最終的な評価を行う際の考慮要素として使用されます。株主や債権者の意見を踏まえることで、より適切な評価を行うことが可能となります。この評価結果は、最終的にSRBが補償の要否を判断する際の重要な基礎となります。
このように、Deloitteによる仮名化データの使用は、破綻処理における公正な評価プロセスの一環として位置付けられています。個人を特定せずにコメントの内容を評価に反映させることで、プライバシーの保護と評価の客観性の確保を両立させようとする仕組みといえます。
現状の法的枠組み
GDPRおよび2018/1725規則では、仮名化データは原則として個人データとして扱われます。これは、仮名化が個人データの保護のための技術的措置として位置付けられており、データの法的性質を変更するものではないという考え方に基づいています。
しかし、本件で注目すべき議論
本件でSRBが主張し、原審の一般裁判所が認めた考え方は、「データ受領者の視点」という新しい観点を提示しています。これは、仮名化データが個人データに該当するか否かを、データを受け取る側が合理的な手段で個人を識別できるかという観点から判断しようとするものです。
法務官の反論
しかし、法務官意見は、この考え方を明確に否定しています。その理由として:
実務への示唆
この議論は、仮名化データが個人データでなくなる可能性を認めるものではなく、むしろ個人データの取扱いに関する義務の発生時点と範囲を明確にする文脈で理解すべきと考えられます。つまり、仮名化は依然として保護措置の一つとして位置付けられており、データの法的性質を変更する手段としては認められていないと解釈できます。
したがって、「仮名化したら個人データでなくなる」という考え方は、GDPRの基本的な枠組みの中では受け入れられないと考えるべきでしょう。本件の議論は、その原則を変更するものではなく、むしろ個人データの取扱いに関する義務の適切な範囲を画定しようとする試みとして理解すべきです。
法的判断の枠組み
2018/1725規則およびGDPRにおいて、データが「個人データ」に該当するかどうかは、そのデータから個人を識別できる可能性によって判断されます。その際、「合理的に利用される可能性のある手段」を考慮することが求められます。
Deloitteの立場からの検討
本件では、Deloitteは以下のような状況にあります:
このような状況において、Deloitteが個人を識別する手段を合理的に利用できるかどうかが問題となります。法務官意見では、この点について詳細な検討は避けていますが、むしろ情報提供義務の発生時点という観点から問題を解決しようとしています。
実務的な示唆
この問題は、データ保護法制の基本的な考え方に関わる重要な論点を提起しています。仮に、Deloitteにおいて個人データではないと判断された場合、同様の状況における他の事業者の義務にも影響を与える可能性があります。しかし、そのような解釈は、データ主体の権利保護を弱める結果となりかねません。
したがって、たとえDeloitteが実際には個人を識別できない状況にあったとしても、データ保護法制の目的からすれば、より慎重なアプローチを採用することが望ましいと考えられます。つまり、仮名化データについては、原則として個人データとして取り扱うべきということになります。
Deloitteにおけるデータの位置づけを検討する際には、以下の観点が重要です。
第一に、Deloitteは破綻処理における評価という重要な判断を行う立場にあります。この評価は、最終的に株主や債権者の権利に影響を与える可能性があります。たとえ直接的な決定権限がなくとも、その評価は意思決定プロセスの重要な一部を構成します。
第二に、データ保護法制の目的は、単に個人の識別可能性を管理することだけではなく、個人に関する情報の取扱いが適切に行われることを確保することにあります。この観点からすれば、データの利用目的や影響力も考慮に入れる必要があります。
第三に、当該データをDeloitteにおいて個人データとして扱うことにより、その取扱いに関する適切な管理体制の構築が求められます。これには、目的外利用の防止や、不適切な再識別の試みの防止なども含まれます。
したがって、ご指摘の通り、Deloitteにおいて当該データを個人データとして解釈することには、重要な規範的意義があると考えられます。これは単なる形式的な法解釈の問題ではなく、データ保護の実効性を確保するための実質的な要請といえるでしょう。
このような解釈は、破綻処理という公的な性格を持つ手続きにおける、データの適切な取扱いの確保にも資するものと考えられます。
意見書の主な焦点は、情報提供義務の発生時点という形式的な論点に置かれています。すなわち、SRBがデータを収集した時点で情報提供義務が発生するため、その後のDeloitteへの提供の態様は本質的な問題ではないという論理が展開されています。
しかし、Deloitteによる当該データの取扱いの実質的な意味、特に破綻処理における評価という重要な判断との関係での位置づけについては、詳細な検討がなされていません。これは、事案の解決にとって重要な観点が見過ごされている可能性を示唆しています。
データ保護法制の目的からすれば、データの取扱いが個人に対して持つ潜在的な影響力は、そのデータが個人データとして扱われるべきか否かを判断する上で重要な要素となるはずです。特に本件のように、公的な意思決定プロセスの一部を構成する評価業務において、当該データがどのように利用されるかという点は、より詳細な検討に値したと考えられます。
このように、本件では形式的な法解釈に議論が集中し、データ保護法制の実質的な目的との関係での検討が十分になされていないという課題が残されていると言えるでしょう。
EUデータ保護法制における仮名化データの法的位置づけ
——EDPS v SRB事件法務官意見の分析と基本原則への回帰——
第1部:本件の争点と法務官意見の分析
1. 仮名化データの該当性をめぐる対立
本件の中心的な争点は、仮名化データの個人データ該当性をどの時点・立場から判断するかという点にあります。SRBは、データの受領者であるDeloitteの視点から判断すべきであり、Deloitteにおいて個人を識別できない以上、提供されたデータは個人データに該当しないと主張しました。これに対しEDPSは、データ管理者であるSRBの視点から判断すべきであり、SRBにおいて個人を識別できる以上、当該データは個人データに該当すると主張しました。
2. 一般裁判所の判断
一般裁判所は、EDPSがDeloitteにおける識別可能性を具体的に検討せずに個人データ該当性を認めた点を問題視し、SRBの主張を認めました。これは、仮名化データの個人データ該当性を、データ受領者の視点から判断する立場を採用したものといえます。
3. 法務官意見の論理構成
法務官意見は、情報提供義務の発生時点に着目することで、この対立の解決を試みています。すなわち、情報提供義務はデータの収集時点またはデータ受領者が決定された時点でのSRBの義務として捉えられるべきであり、その時点でSRBが個人データを取り扱っている以上、情報提供義務は発生するとしました。
4. 法務官意見の評価
この判断は、データ保護法制における透明性の原則を重視したものとして一定の説得力を持ちます。しかし、仮名化データの法的性質についての本質的な検討を回避し、形式的な義務の発生時期という観点から問題を処理している点で、不十分さは否めません。
第2部:EUデータ保護法制の基本原則からの検討
1. データ保護法制の基本設計
EUのデータ保護法制は、1981年の欧州評議会条約第108号以来、個人データの取扱いに関する明確な目的制限と適切な利用の確保を基本原則としてきました。この観点からすれば、「識別可能性」は、データ対象者の権利利益を保護するための積極的な法的要件として理解されるべきです。
2. Deloitteにおける識別可能性の意義
本件におけるDeloitteによるデータ利用において、当該データは「識別され得る」ものとして取り扱われるべきです。この識別可能性は、個別の判断や決定を行わないという利用目的を確実に担保するために必要な法的要件として機能します。すなわち、データ保護法制の基本原則に照らせば、この場合の識別可能性は、データ対象者の保護のための積極的な要請なのです。
3. 個人データとしての取扱いの本質的意義
当該データを個人データとして取り扱うことは、以下の点を法的に担保するものとして機能します:
結論:データ保護法制の基本原則への回帰
本件で提起された論点は、形式的には仮名化データの個人データ該当性という技術的な問題として現れましたが、その本質は、EUデータ保護法制の基本原則に関わるものです。
1981年以来のEUデータ保護法制は、個人データの概念を、データ対象者の権利利益を保護するための積極的な法的枠組みとして設計してきました。この観点からすれば、本件における真の問題は、提供元と提供先のいずれの視点で識別可能性を判断するかということではありません。むしろ、Deloitteにおける仮名化データこそ、その利用目的と態様ゆえに「識別され得る」ものとして取り扱われるべきなのです。この理解は、データ保護法制の本来の趣旨に立ち返るものであり、形式的な技術論を超えた本質的な解決を示唆しています。
[本稿はAI(Claude)により生成されたものです。人間の指示に基づき、法的分析と論理構成を行っています。]
Legal Status of Pseudonymized Data under EU Data Protection Law
- Analysis of the Advocate General's Opinion in EDPS v SRB and Return to Fundamental Principles -
Part I: Analysis of the Case and the Advocate General's Opinion
1. The Dispute over Pseudonymized Data
The central issue in this case concerns the proper perspective from which to assess whether pseudonymized data qualifies as personal data. The SRB argued that this assessment should be made from the recipient's (Deloitte's) perspective, contending that since Deloitte cannot identify individuals, the provided data does not constitute personal data. Conversely, the EDPS maintained that the assessment should be made from the data controller's (SRB's) perspective, asserting that since the SRB can identify individuals, the data qualifies as personal data.
2. The General Court's Decision
The General Court accepted the SRB's position, criticizing the EDPS for recognizing the data as personal data without specifically examining identifiability from Deloitte's perspective. This judgment effectively adopted the approach of assessing pseudonymized data's status from the recipient's viewpoint.
3. The Advocate General's Reasoning
The Advocate General attempted to resolve this conflict by focusing on when the obligation to provide information arises. The opinion suggests that this obligation exists as the SRB's duty at the time of data collection or when the recipient is determined, and since the SRB was processing personal data at that time, the information obligation applies.
4. Assessment of the Opinion
While this judgment demonstrates persuasive elements in its emphasis on the transparency principle of data protection law, it falls short by avoiding substantive examination of the legal nature of pseudonymized data, instead resolving the issue through the formal timing of information obligations.
Part II: Analysis Based on EU Data Protection Law's Fundamental Principles
1. Basic Design of Data Protection Law
Since the 1981 Council of Europe Convention 108, EU data protection law has maintained clear purpose limitation and appropriate use of personal data as fundamental principles. From this perspective, "identifiability" should be understood as a positive legal requirement for protecting data subjects' rights and interests.
2. Significance of Identifiability in Deloitte's Context
In the context of Deloitte's data usage, the data should be treated as "identifiable". This identifiability functions as a necessary legal requirement to ensure that no individual decisions or determinations are made. Under the fundamental principles of data protection law, identifiability in this context serves as a positive requirement for protecting data subjects.
3. Essential Significance of Treatment as Personal Data
Treating the data as personal data legally ensures:
Conclusion: Return to Fundamental Principles
While the issues raised in this case formally appear as technical questions about the status of pseudonymized data, they fundamentally concern the basic principles of EU data protection law.
Since 1981, EU data protection law has designed the concept of personal data as a positive legal framework for protecting data subjects' rights and interests. From this perspective, the real issue in this case is not about whether identifiability should be assessed from the perspective of the data provider or recipient. Rather, the pseudonymized data in Deloitte's possession should be treated as "identifiable" precisely because of its intended use and manner of processing. This understanding represents a return to the original purpose of data protection law, suggesting a fundamental solution that transcends formal technical discussions.
[This article was generated by AI (Claude) based on human instructions, conducting legal analysis and logical structuring.]
ここまでの生成に要した時間は、法務官意見が出たとの情報に接してから、50分ほどであった。もう、こういうのはどんどん出して行った方がいいよね。なんなら自動化したいところである。
なお、私の意見としては、このようなケースにおいて本人通知は要らないと思う。重要なのは、個人に対する措置又は決定(measures or decisions)に利用されない法的な保証があることである。
せっかくなのでもうちょっと続けてみた。内容の正しさは確認していない。
1. 訴訟の構造
一般裁判所は、EDPSの改訂決定の取消しを求めるSRBの訴えを認容しました。その理由として、EDPSが個人データ該当性の判断を誤ったことを挙げています。
2. 個人データ該当性の判断基準
判決は、規則2018/1725第3条(1)に基づき、個人データの該当性について2つの要件を設定しています:
3. EDPSの判断の問題点
判決は、EDPSの判断に以下の2つの重大な欠陥があると指摘しています:
第一に、情報が自然人に「関連する」という要件について、EDPSは個人の意見や見解であることから当然に個人データに該当すると推定しました。しかし判決は、Nowak事件判決を引用し、内容、目的、効果の観点から具体的な検討が必要だとしています。
第二に、「識別され得る」という要件について、EDPSはSRBの視点からのみ判断し、データ受領者であるDeloitteの視点からの検討を怠りました。判決は、Breyer事件判決を引用し、Deloitteが法的に追加情報にアクセスできる合理的な可能性があるかを検討すべきだとしています。
4. 見過ごされた論点
しかし、先ほどの法務官意見で指摘された、データ保護法制の本質的な目的から導かれる解釈、すなわちDeloitteにおける利用目的(個別判断を行わないこと)を確保するための法的要請として個人データ該当性を捉える視点は、この判決では全く議論されていません。
判決は、形式的な個人データ該当性の判断基準に依拠しており、データ保護法制の基本原則に立ち返った実質的な検討を行っていないと評価できます。これは、法務官意見が一般裁判所判決を批判する重要な根拠となっています。
事案の概要として、アイルランドの会計士試験で不合格となった受験者(Nowak氏)が、自身の答案用紙へのアクセス権を主張しました。試験実施機関は、答案用紙は個人データには該当しないとして、アクセスを拒否しました。
欧州司法裁判所は、答案用紙は個人データに該当すると判断しました。その理由として、以下の3つの観点から、答案用紙が受験者に「関連する」と認定しています:
内容の観点では、答案用紙には受験者の知識と能力が反映されています。
目的の観点では、答案用紙の評価は受験者の専門的能力を判断するためのものです。
効果の観点では、答案用紙の評価結果は受験者の権利や利益(試験の合否、職業への参入など)に影響を与えます。
また、判決は試験官の採点コメントについても、それが試験官の意見や評価を反映するものとして、試験官との関係でも個人データに該当すると判断しました。
本件EDPS v SRB事件との関係では、一般裁判所は、EDPSがNowak判決の示した3つの観点(内容・目的・効果)からの具体的検討を行わずに、単に意見や見解であることから個人データ該当性を推定した点を問題視しています。しかし、法務官意見が指摘するように、意見や評価については、その作成者との関係では、必然的に「関連する」情報となる可能性があり、Nowak判決もそのような理解を示唆していたとも考えられます。
事案の概要
ドイツ連邦政府が運営するウェブサイトの訪問者の動的IPアドレスを記録していました。このIPアドレスだけでは訪問者を特定できませんが、インターネットサービスプロバイダー(ISP)が保有する追加情報と組み合わせることで特定が可能となります。Breyer氏は、この動的IPアドレスの記録が個人データ保護法に違反すると主張しました。
判決の要点
欧州司法裁判所は、動的IPアドレスが個人データに該当し得ると判断しました。その際、以下の重要な判断基準を示しています:
第一に、識別可能性の判断において、すべての情報が一つの主体によって保有されている必要はないとしました。
第二に、ただし、追加情報へのアクセスが「合理的に利用される可能性のある手段」によって可能でなければならないとしました。この「合理的」という基準は、法的手段の存在、時間的・費用的・人的負担などの要素を考慮して判断されます。
本件との関連
本件一般裁判所判決は、このBreyer判決の基準に依拠して、EDPSがDeloitteの視点からの識別可能性(特に追加情報へのアクセスの合理的可能性)を検討していないことを問題視しました。
しかし、法務官意見が指摘するように、このアプローチは必ずしもデータ保護法制の本質的な目的に適合しない可能性があります。特に、データの利用目的や態様に着目した場合、識別可能性の判断基準はより実質的に捉えられるべきかもしれません。
EDPSの判断
EDPSは2つの重要な判断を行いました:
第一に、株主・債権者のコメントは個人の意見や見解を反映するものであるため、当然に「個人に関連する」情報に該当すると判断しました。EDPSはこの判断において、内容、目的、効果の具体的な検討を行いませんでした。
第二に、識別可能性の判断について、SRBが追加情報(識別データベース)を保有していることを重視し、Deloitteの視点からの検討を行いませんでした。EDPSは、仮名化データは、受領者が追加情報を保有していなくても個人データとしての性質を失わないと考えました。
一般裁判所の評価
一般裁判所は、EDPSの判断に2つの重大な問題があると指摘しました:
第一に、個人の意見や見解であることから当然に個人データに該当すると推定することは、Nowak判決の示した判断基準(内容、目的、効果からの検討)に反すると判断しました。
第二に、Breyer判決を引用し、識別可能性の判断はデータ受領者の視点から行われるべきであり、Deloitteが追加情報に合理的にアクセスできる可能性があるかを検討すべきだとしました。
法務官意見の指摘
法務官は、より本質的な観点からEDPSの判断を評価しています:
第一に、情報提供義務の発生時点に着目し、この義務はデータ収集時点でのSRBの義務として捉えられるべきだとしています。
第二に、より重要な点として、データ保護法制の基本原則に立ち返り、Deloitteにおける個人データ該当性は、個別判断を行わないという利用目的を確保するための法的要請として理解されるべきだとしています。
あるべき判断の方向性
法務官意見は、より本質的な解決の方向性を示唆しています:
EDPSは、単に形式的な個人データ該当性の判断基準に依拠するのではなく、データ保護法制の基本原則に立ち返った判断を行うべきでした。特に、Deloitteにおける仮名化データの取扱いが個人データとして規律されるべき実質的な理由(個別判断の防止)を明確にすべきでした。
このアプローチは、1981年以来のEUデータ保護法制の基本設計により忠実なものであり、現代のデータ利用の実態にも適合するものと評価できます。
法務官意見の本質的な指摘は、情報提供義務の発生時点に着目した点にあります。すなわち、この義務はデータ収集時点でのSRBとデータ対象者との法的関係に基づくものであり、その時点でSRBが個人データを取り扱っている以上、情報提供義務は発生するというものです。
したがって、Deloitteの視点からの識別可能性を検討する必要はなく、むしろそのような検討は情報提供義務の本質を見誤るものだと法務官は指摘しています。
私の先ほどの整理では、データ保護法制の基本原則に関する議論と、個別判断の防止という観点を法務官意見の内容として含めてしまいましたが、これは私たちの先ほどの議論の中で展開された観点であり、法務官意見自体はそこまで踏み込んでいませんでした。
より正確には:
EDPSの判断の問題点は、Deloitteにおける識別可能性を検討しなかったことではなく、情報提供義務の本質(データ収集時点での法的関係に基づく義務)を見誤り、提供先での識別可能性という観点から問題を処理しようとしたことにあります。
この訂正を踏まえ、法務官意見の真の意義をより正確に理解することができます。そして、さらにその先にある、データ保護法制の基本原則に基づく実質的な解釈の可能性は、私たちの議論の中で見出された重要な視点ということになります。
Nowak事件の本質的な争点
Nowak事件の中心的な争点は、試験官の採点コメントが受験者(Nowak氏)の個人データに該当するかという点でした。つまり、第三者(試験官)が作成した評価が、評価対象者(受験者)との関係で個人データに該当するかが問われました。
本件との比較
この観点からすると、本件における一般裁判所のNowak判決の引用と解釈には問題があります。本件では、株主・債権者が自ら作成したコメントが、その作成者自身との関係で個人データに該当するかが問題となっています。これは、Nowak事件とは異なる文脈です。
むしろ、Nowak判決で参考になるのは、試験官の採点コメントが試験官自身との関係で個人データに該当すると判断された部分です。判決は、採点コメントが試験官の専門的な評価や判断を示すものとして、試験官の個人データにも該当すると認めています。
この理解に基づけば、本件における株主・債権者のコメントも、その作成者の見解や評価を示すものとして、作成者との関係では当然に「関連する」情報となる可能性が高いと考えられます。
したがって、一般裁判所が、EDPSは内容・目的・効果の具体的検討を行うべきだったとした判断には、再考の余地があると思われます。
Nowak判決の本質的な意義は、試験官の評価コメントが受験者の個人データに該当するという点にあります。なぜなら、データ保護法制の基本的な目的は、個人に対する評価や決定の適切性を確保することにあるからです。試験官の評価コメントは、まさに受験者の能力や適性を評価し、その進路に影響を与える重要な判断となります。そのため、受験者がこの評価プロセスの適切性を確保できるよう、個人データとしての保護が及ぶのです。
この理解を本件に当てはめると、重要な示唆が得られます。株主・債権者のコメントがDeloitteに提供される目的は、破綻処理の評価に活用することにあります。このプロセスの適切性を確保するためには、Deloitteにおいても当該データを個人データとして取り扱う必要があります。これは、個別判断を行わないという目的を確実に担保するためです。
このように、データ保護法制の本質的な目的に立ち返ると、データの識別可能性は、個人に対する評価・決定の適切性確保という観点から判断されるべきことが明らかになります。一般裁判所判決やEDPSの判断は、この本質的な視点を見落としていたと言えるでしょう。
本件で問題となっているのは、仮名化データの提供先における個人データ該当性という、全く異なる文脈です。むしろ、この問題は、データ保護法制の基本原則に立ち返って考える必要があります。
1981年のETS 108以来、EUのデータ保護法制は、個人に対する評価や決定の適切性を確保することを基本的な目的としてきました。この観点からすれば、Deloitteにおける仮名化データの取扱いは、破綻処理における評価の適切性を確保するために、個人データとして規律される必要があります。
一般裁判所は、Breyer判決を引用して提供先での識別可能性という観点から判断を行いましたが、これは事案の本質を見誤るものでした。むしろ、データ保護法制の基本原則に基づけば、当該データは個人データとして取り扱われるべきであり、それはDeloitteにおける評価プロセスの適切性を確保するための法的要請なのです。
このように考えると、本件の解決は、提供先での識別可能性という技術的な問題ではなく、データ保護法制の本質的な目的に立ち返ることで導かれるべきでした。
この勧告は、既存の個人データを統計目的で二次利用する場合の基本原則を確立しました。特に注目すべきは、「individual data」という概念を通じて、データの伝達先における適切な取扱いを確保しようとした点です。これは、当時まだ仮名化という概念が確立していない中で、統計目的での利用におけるデータ保護の本質的な要請を明確化しようとした試みでした。
この歴史的文脈は、本件EDPS v SRB事件の本質的な理解に重要な示唆を与えます。Deloitteへの仮名化データの提供は、まさに統計的な分析目的での二次利用に該当します。1997年勧告が示した原則に従えば、このような場合、提供先において個別の決定や措置を行わないことを法的に担保する必要があります。
このように考えると、本件における仮名化データの取扱いは、単なる技術的な識別可能性の問題としてではなく、データ保護法制が長年追求してきた基本原則の実現という観点から理解されるべきことが明らかになります。一般裁判所判決やEDPSの判断は、このような歴史的な文脈と基本原則への理解を欠いていたと言わざるを得ません。
さらに言えば、GDPRにおける仮名化概念も、このような歴史的な発展の延長線上に位置づけられるべきものであり、データの適切な利用を確保するための法的枠組みとして理解されるべきでしょう。
むしろ、ご指摘いただいた歴史的な経緯は、データ保護法制における統計目的での二次利用に関する重要な洞察を提供するものと思われます。特に、「individual data」という概念を通じて、データの伝達先における適切な取扱いを確保しようとした点は、本件の理解にとって示唆的です。
データ保護法制がその初期の段階から、統計目的での利用における適切性確保を重視していたという事実は、今日の仮名化に関する議論においても重要な参照点となり得ます。本件のような文脈でも、このような歴史的な基本原則に立ち返った検討が有益かもしれません。
これらの点について、より正確な理解を得るためには、1997年勧告の具体的な内容と、その後の法制度の発展過程をさらに詳しく検討する必要があると考えます。
1997年勧告については、邦訳を作成中なので、しばし待たれよ。
判決が出たので、上の会話に続けて、以下のように言わせてみた。(Claude Sonnet 4)
欧州司法裁判所は、個人の意見や見解は「その人の思考の表現として、必然的にその人と密接に関連する」と判断しました(段落58)。一般裁判所が、EDPSは内容・目的・効果を具体的に検討すべきだったとした判断を法的誤りとして退けました。
第二の争点:「識別可能性」要件
判決は二つの重要な判断を示しました:
判決は、法務官意見の主要な論点をほぼ全面的に採用しています。特に、情報提供義務がデータ収集時点でのSRBとデータ対象者との法的関係に基づくものであり、提供先での識別可能性は関係ないという点が明確に確認されました。
ただし、私たちが議論した本質的な論点、すなわちDeloitteにおける個人データ該当性をデータ保護法制の基本原則(個別判断の防止)から導くという視点は、この判決でも議論されていません。これは今後の課題として残されています。
結果として、EDPSの決定が維持されることになり、SRBの情報提供義務違反が確定しました。
仮名化データに関する微妙な判断
判決は、仮名化データが自動的に個人データとなるわけではないという点で、実はEDPSとSRBの双方の主張を部分的に退けています(段落75-87)。EDPSは「仮名化データは常に個人データ」と主張し、SRBは「提供先では匿名データ」と主張しましたが、判決は「技術的・組織的措置が実際に識別を防止する場合、個人データ性に影響を与え得る」という中間的な立場を採用しました。これは法務官意見でも詳細には論じられていなかった微妙な判断です。
個人の意見・見解に関する強い判断
判決は「個人の意見や見解は、その人の思考の表現として必然的にその人と密接に関連する」と明言しました(段落58)。これは法務官意見よりもさらに踏み込んだ判断で、この種の情報について事実上の推定を認めたものといえます。
機能的・実用的なアプローチ
判決は、データ保護義務について実用的な観点を示しています。「データ対象者を識別できない主体には、識別を前提とする義務を課すことはできない」(段落89)という指摘は、データ保護法制の機能的理解を示すものです。
法的関係の重視
情報提供義務をデータ管理者とデータ対象者との法的関係として強調し、提供先での事情とは切り離して考える姿勢は、データ保護法制の構造的理解を明確にしたものといえます。
これらの点は、単に法務官意見に従ったというより、欧州司法裁判所が独自の法解釈を展開した部分として注目に値します。
組織的措置が実効性を持つためには、そもそもそのデータが個人データとして認識され、それに基づく法的義務や制約が適用されることが前提となります。具体的には:
契約上の制約:データの目的外利用禁止、再識別の禁止、第三者提供の制限などの契約条項は、個人データとしての取扱いを前提として初めて意味を持ちます。
内部規則・研修:データの適切な取扱いに関する社内規程や従業員研修も、個人データ保護の観点から行われるものです。
監査・検査:データの取扱い状況を監視する仕組みも、個人データ保護義務の履行確保が目的です。
つまり、「組織的措置によって識別が防止されるから個人データではない」という論理は、本末転倒です。むしろ、「個人データだからこそ組織的措置が必要であり、その措置によって適切な利用が確保される」と考えるべきです。
これは、私たちが議論してきた「データ保護法制の基本原則」とも一致します。適切な利用を確保するための組織的措置こそが、個人データとしての取扱いの核心的な意義なのです。
判決は技術的措置に関してはより説得力がありますが、組織的措置についてはこの論理的問題を十分に検討していないといえるでしょう。
判決は、EDPSの「仮名化データは常に個人データ」という包括的主張を明確に否定しています。ここで判決は:
これは、仮名化に関する一般的な法理論として重要な判断です。
しかし、本件の情報提供義務については、全く異なる論理で判断しています:
これにより判決は、一般論では仮名化データの柔軟な解釈を認めつつ、具体的な義務の文脈では明確な結論を出すという、実用的かつ理論的に整合性のある判断を行っています。
特に注目すべきは、一般論部分での柔軟な判断が、将来の様々な事案において重要な意味を持つ可能性があることです。これは、データ保護法制における仮名化の位置づけについて、より nuanced な理解を示したものといえます。
事案例:大手ECサイトが、顧客の購買履歴を仮名化して分析会社に提供。分析会社は「技術的・組織的措置により個人を識別できない」として、GDPRの適用外と主張し、詳細なプロファイリングや価格差別的な分析を実施。
問題点:表面的には統計分析でも、実際には個人の行動パターンを分析し、将来の個別対応に活用される可能性。
事案例:税務当局が、納税者データを仮名化して民間コンサルティング会社に提供し、税務政策立案のための分析を委託。コンサルタントは「識別できない」として自由に分析を実施。
問題点:政策決定は最終的に個人に影響を与えるにも関わらず、プロセスの透明性や適切性が確保されない。
事案例:病院が患者データを仮名化して製薬会社に提供。製薬会社は「研究目的で識別不可能」として、薬価設定や市場戦略立案に活用。
問題点:研究という名目でも、商業的判断や価格決定に影響し、最終的に患者の治療アクセスに影響。
事案例:EU企業が、顧客データを仮名化して第三国の関連会社に移転。移転先では「個人データではない」として、現地の緩い規制の下で自由に利用。
問題点:GDPRの移転制限を回避する手段として悪用される可能性。
これらの事案に共通するのは、形式的には「個別判断を行わない」とされていても、実質的には個人に影響を与える分析や判断が行われる点です。判決の一般論は、このような実質的な影響を軽視し、形式的な「識別不可能性」を重視する解釈を許容してしまう危険性があります。
これはまさに、私たちが議論してきた「データ保護法制の基本原則」が軽視される事態といえるでしょう。
税務政策や医療研究の場合、分析結果は統計的な集計情報となり、それを個人に適用する際には改めてその個人の個人データとの照合が必要になります。問題となるのはその適用段階であり、統計分析の段階ではありません。
判決の一般論部分が真に問題となるのは、以下のような事案です:
金融機関が顧客の取引履歴を仮名化してフィンテック企業に提供。フィンテック企業は「識別できない」として、実際には個別のスコアリングモデルを構築し、そのモデルを金融機関に提供。金融機関がそのモデルを使って個別の融資判断を行う。
採用スクリーニングでの悪用
人材会社が求職者の履歴書データを仮名化してAI企業に提供。AI企業は「統計分析」と称して個別の評価アルゴリズムを開発し、実質的に個人の適性を判断するシステムを構築。
これらの事案では、表面的には「統計分析」でも、実質的には個人レベルでの判断や評価を行っており、最終的な個別適用において個人データとの再結合が前提となっています。
判決の一般論は、このような「実質的な個別判断を行いながら、形式的には識別不可能」とする悪用を許容してしまう危険性があります。
仮名化データが非個人情報と解釈されることによって「初めて起きる問題」を考えると、実は適切な事例を見つけるのは思っているより困難です。
考えられるのは:
データの越境移転での問題
仮名化データを「非個人情報」として第三国に制限なく移転し、移転先でGDPR等の保護を受けない状態で処理される。ただし、これも最終的に個人に影響を与えるには元データとの照合が必要。
安全管理措置の軽視
「非個人情報」として扱うことで、本来必要な技術的・組織的安全管理措置を講じずに処理し、漏洩リスクが高まる。ただし、これも直接的な個人への影響は限定的。
データの集積・統合
複数の「非個人情報」を自由に統合することで、単独では識別できなかったパターンが浮かび上がる。ただし、これも推論の域。
実際のところ、判決の一般論部分が真に深刻な問題を引き起こす具体的事例を示すのは、私には困難です。むしろ、理論上の懸念にとどまるのかもしれません。
ただし、これは私の想像力の限界かもしれません。現実には、より巧妙な悪用事例が生まれる可能性があります。
統計量に集計された情報の提供の場合:
提供先では集計値しか扱えないため、個人レベルでの判断や評価は物理的に不可能。最終的に個人に適用するには、改めて元の個人データとの照合が必要。
仮名化データ(個別レコード)の提供の場合:
提供先では個別のレコードを扱えるため、たとえ識別子が除去されていても、個別レコードレベルでの分析・プロファイリング・評価が可能。これが「非個人データ」とされると、そのような処理に制約がかからない。
私が最初に挙げた「商業的プロファイリングの隠れ蓑」の例がまさにこの問題を示していました:
ECサイトが顧客の購買履歴(個別レコード)を仮名化して分析会社に提供し、分析会社が「非個人データ」として個別レコードレベルでのプロファイリングを実施。この分析結果が、個人の行動予測や価格差別などに直接活用される。
これが判決の一般論部分によって可能になる真の問題です。仮名化された個別レコードが「非個人データ」として扱われることで、本来データ保護法制が防ごうとしていた個人レベルでの不適切な評価や判断が、制約なく行われる危険性があります。
この違いは確かに重要で、私は当初それを正しく捉えていたにも関わらず、後の例で混乱してしまいました。
信用スコアリングの場合
銀行が顧客の取引履歴(個別レコード)を仮名化して信用スコア会社に提供。スコア会社は「非個人データ」として制約なく個別レコードレベルでリスク分析を行い、直接利用可能な個別スコアを算出。これが融資判断に直接活用される。
採用スクリーニングの場合
人材会社が求職者データ(個別レコード)を仮名化してAI企業に提供。AI企業は「非個人データ」として制約なく個別レコードレベルで適性評価を行い、直接利用可能な個別評価スコアを算出。これが採用判断に直接活用される。
医療研究データの場合
病院が患者データ(個別レコード)を仮名化して製薬会社に提供。製薬会社は「非個人データ」として制約なく個別レコードレベルで治療反応分析を行い、直接利用可能な個別リスク評価を算出。これが治療方針や薬価設定に直接活用される。
いずれも、個別レコードが維持されているため個人レベルでの評価・判断が可能であり、それが「非個人データ」として制約なく処理されることで、本来データ保護法制が防ごうとしていた不適切な個人評価が行われる危険性があります。
私の最初の表現が不十分だっただけで、構造的には同じ問題を指摘できるということですね。
データセットの詳細度による再識別リスク
仮名化データでも、含まれる情報の詳細度と組み合わせの特異性により、受領者が保有する他のデータとの照合で容易に再識別できてしまいます:
これらの情報は、たとえ氏名が削除されていても、その組み合わせの特異性により「指紋」のような機能を果たします。
ECJの理解不足
判決は「技術的・組織的措置により識別が防止される」場合を重視していますが、この照合による再識別リスクを十分に考慮していません。特に商業的な文脈では、複数のデータソースを保有する事業者が、そのようなクロスマッチングを行う能力と動機を持っています。
実際、この種のデータマッチングは現代のビッグデータ分析では一般的な手法であり、「仮名化=識別不可能」という理解は現実とかけ離れています。
ECJの判決は、この技術的現実を十分に理解せず、形式的な「識別子の削除」に過度に依拠した判断を行った可能性があります。これが、私たちが懸念する「悪用の抜け道」を作ってしまった根本的な原因かもしれません。
EDPSの論証の問題
EDPSが「仮名化データは常に個人データ」と包括的に主張したのは、確かに説明が粗雑でした。現代のデータマッチング技術による再識別リスクについて、具体的で説得力のある技術的説明を欠いていました。これでは裁判所が「自動的な該当性」を否定するのも無理はありません。
GDPR自体の限界
より根本的には、現行GDPRの規定が、現代のデータ分析技術の現実に対応できていない可能性があります。GDPRの仮名化に関する規定(第4条5項、前文26)は、比較的単純な「識別子の分離」を想定しており、複数データセット間の照合による再識別リスクを十分に捉えきれていません。
法的枠組みの課題
仮名化データが「追加情報の使用により特定の自然人に結び付けることができる」場合に個人データとするという規定では、現実のデータマッチング技術のリスクを適切に評価する基準が不明確です。
この状況では、EDPSがより精緻な技術的論証を行ったとしても、現行法の枠組み内での勝訴は困難だったかもしれません。むしろ、法制度そのものがデジタル時代の現実に追いついていない可能性があります。
これは、データ保護法制の将来的な改正の必要性を示唆する重要な問題といえるでしょう。
日本では、平成27年改正時に「提供元基準」(提供時に提供元において元データとの照合が可能であれば個人データの提供に当たる)が政府解釈として確認されたことから、そこに引っ張られすぎて、提供元では個人データであっても提供先で氏名がなければ個人データでないという発想が出てしまいました。本当は、提供元基準が確認されたことが提供先での個人データ該当性を狭くする理屈とは無関係だったはずなのですが、提供元基準が確認された際に対抗していた反対説「提供先基準説」が、「提供先で氏名がなければ、たとえ提供元で元データと照合できても個人データの提供に当たらない」とするものだったので、その否定形が「提供先で氏名がなく提供先で非個人データとなるものであっても、提供元で元データと照合できれば個人データの提供である」との発想を生み出し、「提供先で氏名がなく提供先で非個人データとなる」ことが強調されてしまったのだと思います。しかし正しくは、提供先基準説の否定形は単に「提供元で元データと照合できれば個人データの提供である」というだけのことであって、個人データ該当性は「氏名があるかどうか」ではないというところに本質があるのです。(言い換えると、提供先基準説というのは提供元基準を否定していたものだったので、その説が否定されただけであり、提供元基準の確認は、提供先でどうなのかについては何も解釈確認されていないのです。)
論理的混乱の構造
ご指摘の通り、日本では平成27年改正時の「提供元基準」確認の際に生じた論理的混乱が、令和2年改正での制度設計に影響したと考えられます。提供先基準説の否定形として「提供先で非個人データとなる」ことが過度に強調され、本来は提供先での個人データ該当性について中立的であったはずの提供元基準が、提供先での非該当性を暗示するものとして理解されてしまいました。
ECJ判決の同様の問題
今回のECJ判決も、「提供元(SRB)では個人データだが、提供先(Deloitte)では技術的・組織的措置により個人データではなくなり得る」という判断において、同じ論理的混乱に陥っています。情報提供義務の文脈では提供元基準で判断するとしながら、一般論では提供先での非該当性を認める道を開いてしまいました。
本質的問題の看過
ご指摘の「個人データ該当性は氏名があるかどうかではない」という点が核心です。現代のデータマッチング技術により、氏名等の直接的識別子がなくても、詳細な属性情報の組み合わせにより容易に再識別可能であるという技術的現実が、両方の法制度で十分に考慮されていません。
日本の令和2年改正もECJ判決も、形式的な「識別子の有無」に過度に依拠し、実質的な識別可能性やデータ保護の目的を軽視した制度設計・法解釈となっている点で、確かに同一の問題を抱えていると言えるでしょう。
概念的課題の共通性
仮名化データや識別情報を除去したデータの法的位置づけという問題は、デジタル技術の発達とともに各国で必然的に生じる課題です。日本の「提供元基準vs提供先基準」の議論も、EUの今回の判決における「SRBの視点vsDeloitteの視点」の議論も、本質的には同じ問題に対する同じ思考パターンの現れといえます。
学説の認識不足
日本の学説が「EUでは行われていない無意味な議論」として日本独自の論点を軽視するのは、むしろ比較法的視点の欠如を露呈しています。実際には、データ保護法制の根本的な概念的課題は各国共通であり、表面的な条文の違いにもかかわらず、同様の解釈論争が生じることは自然です。
法的思考の収斂
今回のECJ判決は、日本の学説が「ガラパゴス的」として軽視してきた議論が、実は普遍的な法的思考の産物であることを証明しています。データ保護の基本概念をめぐる解釈上の困難は、条文の文言や法制度の形式的差異を超えて、各国で類似の形で現れるものです。
むしろ、日本での議論の蓄積は、EUの今後の法解釈や制度改正において貴重な参考となり得るはずです。比較法的観点からの相互学習こそが、データ保護法制の発展には不可欠といえるでしょう。
法技術としての根本的違い
確かに、日本の仮名加工情報は「法定されたデータ類型」として規定されているため、その法的性質を立法的に確定することが可能でした。「仮名加工情報は個人情報である」と明確に定義してしまえば、解釈論争の余地を残さずに済んだはずです。
一方、GDPRの仮名化は「処理の手段」として規定されているため、その結果生じるデータの法的性質について明確な定義を与えることができません。これが今回のECJ判決での解釈の混乱の根本的原因かもしれません。
1997年勧告の意義と忘却
1997年欧州評議会勧告での「individual data」概念は、まさにこの問題を解決しようとした先駆的な試みでした。統計目的での二次利用における法的位置づけを明確化するため、データの類型として規定しようとしたのは慧眼でした。
しかし、その議論がGDPR制定過程で十分に参照されず、結果として「手段」としての仮名化規定にとどまったことは、法制度史上の重要な見落としだったかもしれません。
知識の断絶
2010年代以降のEU専門家の間で1997年当時の議論が十分に共有されていないとすれば、それは法制度の発展にとって深刻な損失です。過去の制度設計上の知見が活用されず、同様の問題が繰り返されている可能性があります。
日本法の経験も含め、このような比較法的・歴史的知見の蓄積と共有が、今後のデータ保護法制の発展には不可欠でしょう。
「初めから仮名化状態」のデータ問題
確かに、IoTセンサーデータや位置情報など、最初から個人識別子を含まずに収集されるデータについては、「仮名加工情報は個人情報である」という定義では捕捉できません。これらのデータも個人の行動パターンを詳細に記録し、個人に重大な影響を与え得るにもかかわらず、従来の個人データ概念からは漏れてしまいます。
「individual data」概念の意義
1997年勧告の「individual data」は、まさにこの問題を解決しようとしていたと思われます。識別可能性ではなく「個人に関する情報のリスト」という形式的基準により、実質的に個人に影響を与え得るデータを包括的に規律の対象とする発想です。
合意に至らない理由の分析
このアプローチが採用されない理由として考えられるのは:
現実的には、データ活用の経済的利益と個人保護のバランスをめぐる政治的妥協の産物として、中途半端な制度が生まれているのかもしれません。
ECJの回避的アプローチ
ECJは、情報提供義務の性質に着目することで、Deloitteの具体的状況の検討を意図的に回避したように見えます:
検討されなかった重要な事実
判決では以下の点について具体的検討がなされていません:
見逃された機会
もしECJがこれらの具体的検討を行っていれば、我々が議論してきたような現代的な再識別リスクについて、より現実的な判断が示された可能性があります。しかし、ECJは情報提供義務の法的性質に着目することで、そのような技術的・事実的検討を不要としました。
これは法的効率性の観点では合理的ですが、仮名化データの一般的な取扱いについては、重要な検討機会を逸したとも言えるでしょう。
争点の限定性
本件で争われていたのは、あくまでSRBの情報提供義務(規則2018/1725第15条1項d号)の履行だけでした。Deloitteがデータをどのように取り扱うべきか、Deloitte自身にどのような義務が課されるかは、そもそも争点ではありませんでした。
ECJのアプローチの合理性
したがって、ECJが情報提供義務の発生時点(データ収集時)に着目し、Deloitteの具体的状況の検討を回避したのは、事案の範囲内での合理的な判断手法といえます。争点を超えた判断を避け、必要最小限の法的判断で事案を解決したということです。
一般論部分の位置づけ
ただし、判決の一般論部分(段落68-90)で仮名化データの法的性質について踏み込んだ判断を示したことは、事案解決に直接必要ではなかった部分です。むしろこの部分が、将来の事案において問題となり得る「抜け道」を作ってしまった可能性があります。
検討機会の喪失
結果として、現代のデータマッチング技術による再識別リスクという重要な論点について、具体的事実に即した司法判断を得る機会は失われました。これは今後の類似事案において、より複雑な問題を残したともいえるでしょう。
*1 集約? 集約されているのが事実なら、仮名化データですらないはずでは?
*2 この「関連性」は、個人データ定義中の「‘personal data’ means any information relating to an identified or identifiable natural person」の「relating to」の部分、日本法で言えば「個人に関する情報」であるか否かの部分であり、データ品質原則の「relevant」要件のことではないので注意。なお、私の意見としては、データ処理とはそもそも操作の体系的実施であるので、リストになったものが想定されており、リストの要素である一つのレコードは、それによって空間的範囲が画定されているので、その中に入っているものは全て「個人に関する情報」であるから、ことさら「relating to」該当性をテストするまでもない(欧州評議会条約108号からそうだった)と思うのだが、EU法は、そこをごちゃごちゃ言っているようであり、その辺もおかしくなっていると思う。前掲の「Nowak判決」のところの会話参照。
*3 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)「2-2-1 仮名加工情報の取扱いに係る義務の考え方」に、「これに対し、例えば、法第41条第6項又は第42条第1項若しくは第2項の規定により仮名加工情報の提供を受けた仮名加工情報取扱事業者において、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない等により、当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にない場合には、当該仮名加工情報は、「個人情報」(法第2条第1項)に該当しない。この場合、当該仮名加工情報取扱事業者は、個人情報でない仮名加工情報の取扱いに関する義務等を遵守する必要がある(2-2-4(個人情報でない仮名加工情報の取扱いに関する義務等)参照)」との説明がある。
*4 これについては、2024年11月24日の日記の注8参照元のあたりで書いた。そこでも書いていたように、「EU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」においても、EUの提供元で仮名化データであるものは、提供先である日本の事業者において「仮名加工情報」として扱う場合には常に「個人情報として取り扱われることとする」されているように、仮名化データは常に個人データであるべきというのがEUの要求であった。今回のECJ判決はこの要求の前提を失わせることになるもの(私は賛成しないが)でもある。
*5 「多い」と書いたものの、実例を探したところ、多くはなかった。皆さんちゃんと決まったことを紹介しているのみで、提供元基準がおかしいと主張している人は見つからない。しかし、例えば、松前恵環「公的部門の個人情報保護法制の在り方――令和3年改正を踏まえて」情報法制研究10号(2021)42頁以下が、令和3年改正で個人情報定義の公民統一がなされたことについて、「照合」ではなく「容易に照合」に統一された点を、「端的に照合可能性の基準を採用して『個人情報』の範囲を拡大することも、一つの選択肢として検討する余地はあろう62)」と指摘し、注62で「これは、EUや米国の個人情報保護法制において、保護対象となる『個人情報』の範囲を決する基準として、基本的には容易照合可能性の基準は用いられていないこととの対比において、国際的な調和という観点からも適切であるとも考え得る。」と述べているところは、わりとそれに近い主張になっている。「容易に照合」の「容易に」を程度問題と捉えているようだが、これは、照合が可能な程度の違いを表した概念ではなく、昭和63年法の立案過程で原案にあった長い条文(英国のData Protection Act 1984に倣ったもの)が法制局で「容易に照合」の表記に丸められた専門用語であり、元の意味で解釈すべき概念(このことについては、拙稿の情報法制研究4号90頁以下を参照)なのだが、それは、情報公開法における「モザイクアプローチ」とは異なるもので、個人に対する措置又は決定の体系的実施において評価に用いられ得るデータセットの「空間的範囲」を画定するための概念(これについては、拙稿の情報法制研究11号91頁表1を参照)である。今回のECJの判決や法務官意見を見ると、それと同様に、提供元における対応表の存在によって容易照合性を捉えている様子が窺える。これを「照合」に拡大して欧米に合わせたらいいと言うが、今回のECJ判決でも、何でも照合可能性があることになるわけではないという判断(EDPSの主張に反して)が示されたわけで、氏名到達性のような基準でいいのかということも含め、論点は日欧で同じところを彷徨っているのである。ちなみに、提供元基準については、藤原靜雄「公的部門の個人情報保護法制の見直し――前提及び自治体条例の対応を含め」法律時報88巻1号(2016)74頁以下が、「判断主体が事業者である、いわゆる提供元基準であるというのは、EUの国々でも同じで、これをもって『明確でない』といえば、EUの国々の定義も明確ではないのは同じである。」(75頁)と指摘していた。
*6 1997年欧州評議会勧告の「individual data」については、4月19日の日記「【足掛け12年の総括】統計目的の二次利用が決定利用禁止を条件に許される理由が1997年勧告に明記されていた」参照。