15 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回は死者・法人の情報／「特別カテゴリーの個人データ」／犯罪情報に関し解説します。^[1]

Q1： GDPR上、死者や法人のデータは保護されますか？

A1: 保護されません。但し、死者のデータについてはこれを保護している加盟国もあります。

【解　説】

(1) 死者のデータ

GDPR前文（27）に次の通り規定されています。「GDPRは死者（deceased persons）の個人データには適用されない。しかし、加盟国は、死者の個人データの処理に関する規定を定めることができる」。死者の個人データを保護するEU加盟国の例は注を参照して下さい。[2]

なお日本の個人情報保護法（以下「日本法」という）では明文で「個人情報」を「生存する個人に関する情報」に限定しています(2(1))。

(2) 法人・組織のデータ

GDPR上、「個人データ」は個人（natural person：自然人）に関係する情報（4（1）なので、自然人ではない法人・組織のみに関するデータは個人データに該当しません。但し、法人等の役員・従業員等に関するデータが個人データに該当し得ることは日本法と同様です。

Q2: GDPR上も日本の「要配慮個人情報」と同じような概念がありますか？

A2: はい。「特別カテゴリーの個人データ」(special categories of personal data)という概念です。

【解　説】

以下のいずれかに関する個人データは、GDPR上、「特別カテゴリーの個人データ」(special categories of personal data) とされ、その処理は、データ主体が特定具体的な目的に関しその処理に対し明示的な（explicit）同意を与えた場合その他所定の場合(9(2))を除き、原則として禁止される(9(1))等、一般の個人データの処理よりも厳しい制限が課されます。

【特別カテゴリーの個人データ】

人種／民族的出自／政治的意見／宗教上または思想上の信念／労働組合加入／遺伝データ(*1)または生体データ(*2)で個人識別目的のもの(*3)／健康(*4)・性生活・性的傾向を示す(reveal)個人データ（personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation）

(*1) 遺伝データ（genetic data）

ある個人（a natural person）の先天的または後天的遺伝特性（the inherited or acquired genetic characteristics）に関する個人データであって、その個人特有の（unique）生理状態（physiology）または健康状態を示すものを意味します。特に、その個人の生物学的（biological）サンプルの分析結果から得られたものを含みます（4(13))。

（遺伝データの例） 前文34に以下のものが挙げられています。

①染色体（chromosomal）／デオキシリボ核酸（DNA）／リボ核酸（RNA）の分析結果

②上記①と同等の情報を得ることのできる分析結果

(*2)生体データ（biometric data）

顔画像（facial image）／指紋データ（dactyloscopic data）等、人の身体的（physical）／生理的（physiological）／行動上(behavioural)の特徴(characteristics)を技術的に処理した結果得られる個人データであって、特定の個人を一意に特定・識別可能にする（allow or confirm the unique identification）ものを意味します(4(14))。

(*3)遺伝データまたは生体データの「個人識別目的の」（処理）

遺伝データまたは生体データ（genetic data, biometric data）に「個人識別目的のもの」という限定が付いています。従って、遺伝データまたは生体データの個人識別目的の処理だけが、第9条の適用を受け原則として禁止されます。

例えば、「生体データ」（biometric data）には、その定義上、写真の顔画像も含まれる可能性があります。しかし、写真（photograph）の処理は、個人の特定または認証（identification or authentication）が可能な特別な技術的手段で処理される場合[例：生体認証]のみ特別カテゴリーの個人データの処理に該当します（前文51）。

(*4)健康に関するデータ（data concerning health）

医療等、健康状態に関する情報を示す、個人の身体的または精神的な健康に関する個人データを意味します(4(15))。

【社会保障番号等】

GDPR上の「特別カテゴリーの個人データ」には、例えば、社会保障番号（social security number)やクレジットカードのデータ等、それらが詐欺(fraud）やなりすまし（identity theft）その他不正に利用された場合には、データ主体に重大な不利益をもたらすものが含まれていません。

これは、次のような歴史的理由によると言われています。[3]

1981年の欧州評議会の条約第108号にも特別カテゴリーの個人データ（special categories of data）に関する規定(第6条）があり、その対象も民族的出自等を示す個人データに限定されていました。

このGDPRの民族的出自等の選択は、差別禁止法（anti-discrimination laws）[例：オーストリアのThe Racial Discrimination Act 1975]の影響を大きく受けたものであるとされています。 [そして、おそらく、その根源にはナチスのユダヤ人虐殺等があると思われます]

但し、社会保障番号（social security number）やクレジットカードのデータ等には第9条は適用されませんが、GDPR第32条（処理のセキュリティー）等によりその処理のリスクの大きさに応じたセキュリティー措置等が義務付けられます。

【"Sensitive"なデータ】

"Sensitive data"という用語（「機微データ」と訳されることが多い）も、クレジットカード情報その他財産情報等を含め、極秘のまたは秘密性の高いデータという意味で用いられることがあります。

また、GDPRの前文51でも、"sensitive data"という用語ではありませんが、「その性質上[個人の]基本的権利・自由との関係において特にセンシティブな（sensitive）個人データは、その処理が基本的権利・自由に対する重大なリスクを生じさせる可能性があるから特に保護されなければならない」との記述があります。

実際上も、"sensitive data"とGDPR第9条の「特別カテゴリーの個人データ」はほぼ同じ意味で用いられている場合もあります。しかし、GDPR上の用語としては「特別カテゴリーの個人データ」（special categories of personal data）です。

Q3: 犯罪歴等に関する情報の取扱いは？

A3: 有罪判決および犯罪に関する個人データは、特別カテゴリーの個人データには含まれていません。しかし、その処理は別途厳しく規制されています。

【解　説】

有罪判決および犯罪に関する個人データの処理は、次のいずれかの場合のみ行うことができます(10第一文)。

① 処理が公的機関の管理下で行われる場合

② 処理を行うことがEUもしくは加盟国の法令(*)上許される場合

(*) 具体的には「法執行当局データ保護指令」（LEDP指令）に基づく加盟国国内法等を意味します（前文19）。

また、有罪判決の包括的記録（comprehensive register)は公的機関の管理下で保管されなければなりません(10第二文)。

Q4: 日本の個人情報保護法上の「要配慮個人情報」と比較すると?

A4: 以下の通りです。

(a) 「特別カテゴリーの個人データ」には含まれるが「要配慮個人情報」には含まれない情報

特別カテゴリーの個人データの内、「労働組合加入」および「性生活・性的傾向」を示す個人データは、日本法上の「要配慮個人情報」(2(2))には含まれていないので注意を要します。

(b) 「特別カテゴリーの個人データ」には含まれないが「要配慮個人情報」には含まれる情報

「要配慮個人情報」には、犯罪の経歴、犯罪により害を被った事実等の他、「その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」が含まれます（同法2(3), 政令2, 規則5）。これらはGDPR上の「特別カテゴリーの個人データ」には含まれません。但し、Q2で解説した通り、有罪判決および犯罪に関する個人データの処理は別途厳しく規制されています(10)。

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」第11回はここまでです。

次回はGDPR上の重要な概念である「処理」／「管理者」／「処理者」の概念を解説します。

【著者GDPR・Cookie規制関連本】

【著者の最近のプライバシー関連著作】

「カリフォルニア州消費者プライバシー法(CCPA)の論点- 「個人情報」の概念 -」『国際商事法務』 2020年6月号

『注解付きCalifornia Consumer Privacy Act of 2018「カリフォルニア州消費者プライバシー法（CCPA）」私訳』　‘20/4/1

『「カリフォルニア州消費者プライバシー法（CCPA）規則」(案)（2020年3月11日公表第3次案)私訳』　‘20/4/1

「カリフォルニア州消費者プライバシー法（CCPA）の論点 - 個人情報の「販売」とCookie・オンライン広告規制 -」『国際商事法務』 2020年4月号

「個人情報保護法改正案の概要と企業実務への影響」　企業法務ナビ > 法務ニュース, 2020/03/27

「EUにおけるCookie規制(ePrivacy指令)」『国際商事法務』 2020年2月号

^[4]

【注】

^[1] 【本稿の主な参考資料】　浅井敏雄「GDPR関連資格CIPP/E準拠詳説GDPR (上) - GDPRとCookie規制」　II-A-2, II-E-8

[2] 【加盟国による死者の個人データの保護の例】（デンマーク) 死後10年間死者の個人データが保護される。（フランス） 個人は管理者に対し自己の個人データの死後の処理に関し指示することができる。（ドイツ） 法律上の規定はない。但し、ソーシャルメディアのプロファイルは相続可能との判決がある。（ハンガリー） データ主体が生前指名した者等が死後にそのデータ主体の権利を行使可能。（イタリア） 死者を保護する利益を有する者・死者の代理人等が権利行使できる。（参考資料） (1) Bird & Bird　"Personal data of deceased persons", (2) Tommaso Fia “Death is real. How rights of deceased persons are treated under data protection laws” September 7, 2018

[3] （参考） IAPP "European Data Protection: Law and Practice" 2018, Executive Editor: Eduardo Ustaran, CIPP/E, Partner, Hogan Lovells, -7.3

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害等について当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）このシリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】

浅井敏雄（あさいとしお）

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格(現在は非登録)。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録