GDPRにおける「個人データ」とは？意義や対象範囲などを改めておさらい

近年、消費者のプライバシー意識の高まりもあってか、世界各国においてプライバシー関連法が成立・施行されています。中でも、EUにおけるGDPRはその潮流の先駆けとなっており、注目に値します。

本記事では、GDPRにおける個人データの意義や対象範囲についてご説明いたします。

1. GDPRとは

GDPR（General Data Protection Regulation）とは、EUにおける「個人情報保護のための規則」のことを指します。日本語では、「EU一般データ保護規則」と訳され、2018年に施行されました。

その内容は「世界で最も厳しい個人情報保護のための規則」と言われるほど厳格なもので、世界のプライバシー関連法の先駆けとなっていると言えます。

また、単にEUにおける個人情報保護のための規則といっても、その適用範囲はEU圏内に留まらず、日本企業にも十分に影響を与える可能性があります。

GDPRについて詳しく知りたい方はこちら
＞＞GDPRとは？概要や日本企業が対策すべき項目を解説

2. GDPRにおける「個人データ」とは

2-1. GDPRにおける「個人データ」の意義

GDPRにおける個人データは、以下のように定義されています。

「個人データ」とは、識別された又は識別され得る個人（「データ主体」）に関するあらゆる情報を意味する。 引用：個人情報保護委員会「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、 並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679 （一般データ保護規則）」

ここでの「識別されうる」という言葉は、「単一または複数の情報を掛け合わせることによって、直接的または間接的に個人が特定でき得る」ことを指します。

具体的に個人データに該当する情報には、以下のようなものが挙げられます。

• 氏名
• 識別番号（ID番号等）
• 位置データ
• オンライン識別子（IPアドレス、Cookie等）

詳細は後ほどご説明しますが、GDPRにおいては「オンライン識別子も個人データに該当する」という点に注意しましょう。

2-2. 対象範囲

GDPRにおいて保護の対象となるのは、「欧州連合内のデータ主体の個人データ」とされています。そのため、EU圏内に居住する人であれば、例えEU圏外に国籍を持っていたとしても保護の対象となります。

つまり、EU圏内に居住している人の個人データを持つ企業は、GDPRの適用を受け得るということです。

2-3. GDPR観点で「個人データ」を取得する際に気を付けたいこと

GDPRでは、個人データを取得する際にデータ主体に対して情報提供を行う義務を定めています。

その情報提供の方法については以下を遵守することが求められています。

• 簡潔かつ透明性があり、理解しやすいこと
• 容易にアクセスできること
• 明確かつ平易な文言であること

上記を満たすためには、2つの対策が考えられます。

1つは、プライバシーポリシーを整備することです。
プライバシーポリシーとは、サイト上で集めた個人データの取扱いについて公開した文書のことを指し、企業が収集する個人データの種類や利用目的・方法等について定められています。

プライバシーポリシーを整備することにより、ユーザーに個人データの取扱いについて正しく情報提供をすることができます。整備をする際は、現状の運用に合わせた内容にすることを心がけましょう。

プライバシーポリシーについて詳しく知りたい方はこちら
＞＞プライバシーポリシーはなぜ必要？ 理由と作成上の注意とポイント

もう1つは、個人データを取得する際に、データ主体からの同意を取得するポイントを作ることです。
GDPRの第6条1項において、個人データの取り扱いが適法となるケースが（a）〜（f）の計6つ明記されています。そのうち最も実務において重要と考えられているのが（a）であり、以下のように定められています。

• （a）データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。

つまり、データ主体から明確な同意が取れている場合は個人データの取り扱いが適法とされるのです。EUに拠点を持つ海外サイトを訪れると、その多くが同意を取得するためのバナーを表示させているのは、この適法条件を満たすためのものだと考えられます。

このバナーにより取得した同意情報を蓄積し、管理できるツールのことを同意管理プラットフォーム（Consent Management Platform、略称CMP）といい、GDPRに対応するために導入している企業も少なくありません。

＞＞国産同意管理プラットフォーム「Trust 360 同意管理」の資料を請求してみる

3. CookieはGDPRにおける「個人データ」に該当する？

3-1. GDPRにおいてCookieは「個人データ」に該当する

先述の通り、GDPRではオンライン識別子も個人データに該当します。よって、オンライン識別子であるCookieも個人データとみなされます。

一方で、日本のプライバシー保護のための法律「個人情報保護法」では、Cookieは個人データに該当しません。

※Cookieは「個人関連情報（同法2条7項）」という扱いで、「個人情報（2条1項）」とは区別される点にご注意下さい。

そのため、自社がGDPRの適用対象となるのか、個人情報保護法のみの適用になるのかを調査した上で対応していくことが必要です。

3-2. 日本の個人情報保護法とのCookieの取り扱いの違いに注意

では、日本の個人情報保護法においてはCookieはどのような取り扱いになるのでしょうか。

先述の通り、個人情報保護法においてはCookieは「個人情報（2条1項）」に該当せず、「個人関連情報（2条7項）」という扱いです。よって、Cookieの取得自体に同意取得の必要性はありません。

ただし、個人情報保護法において注意したいのは、運用方法によっては同意が必要となるケースが存在することです。

特に、Cookie情報を自社が保有する個人情報と紐付け、個人を識別できるようにしている場合は、Cookieにより取得した情報を含む全体が「個人情報」に該当します。そして、個人情報を第三者に提供する場合にはユーザー本人から同意を得る必要があります。

いま一度、自社の個人情報の取り扱い方法が同意取得の対象にならないかどうか確認しておいた方が良いでしょう。

詳しくは以下の記事をご参照ください。
＞＞第三者提供とは？厳格化する個人情報の取り扱いと注意点

4. まとめ

今回は、GDPRにおける個人データの意義や対象範囲についてご説明しました。

まとめると、以下2点に注意して自社のプライバシー保護体制を整えていくことが重要です。

• GDPRにおいては、Cookie等のオンライン識別子も個人データに該当し、利用に際して同意を取る必要がある
• 個人情報保護法においては、Cookie等のオンライン識別子自体は個人データに該当しない。ただし、データの取り扱い方法によっては同意を取得する必要がある

公開日：2023年10月10日