2025年9月10日 欧州司法裁判所(CJEU)は法務官(AG)の意見を支持し、仮名化されたデータであっても再識別が可能であれば個人データとなり得ると明確にした。これは、たとえ受領者が識別情報に直接アクセスできなくとも同様の判断が必要となる。管理者(Controller)はGDPRに基づく透明性義務の一環として、仮名化されていてもデータ主体に対し、データの受領者について通知しなければならない。仮名化は、再識別のリスクがあることから、GDPRの適用範囲から当然に除外されるわけではない。
有料会員になって頂くと、以下のコンテンツをご覧いただけます。
- 【What’s Happening】 ・・・概要
- 【At a Glance】・・・要点
- 【In Depth】・・・情報の詳細
- 【Essential insights】・・・情報のポイント
- 【Source Title and Document】・・・情報の出所 (オリジナル情報へのリンク)
【What’s Happening】
2025年9月4日、CJEU (欧州連合司法裁判所) は、C-413/23のケース (EDPS (欧州データ保護監督官) ) 対 SRB (単一破綻処理委員会) について判決を下した。
2025年2月5日、CJEUの法務官(Advocate General, AG) は、C-413/23のケースに関する意見書を提出していた。
2025年2月5日、CJEUの法務官(Advocate General, AG) は、C-413/23のケースに関する意見書を提出していた。
本件は、SRBが欧州連合一般裁判所(General Court, GC) に最初に提訴したもので、SRBは2020年11月24日にEDPSが下した決定に対する上訴を求めていた。
【At a Glance】
SRBは、EDPSの決定をGCに上訴した。その内容は、データ主体に対し、仮名データをコンサルティング会社デロイトと共有する旨を通知しなかったことで、GDPRに基づく透明性義務に違反したとするEDPSの判断に異議を唱えるものである。
- GCはEDPSの決定を破棄し、デロイトが保有する仮名データをEDPSが誤って個人データと分類したと判断した
- GCは、デロイトに回答者を再識別する手段がなく、EDPSが受領者(Deloitte)の立場を考慮しなかったと認定した
- EDPSはGCの判決を欧州司法裁判所に上訴した
CJEUの判決
- CJEUの判断:
- 識別リスクが存在しない、又はそのリスクが軽微な場合、データは「個人データ」に分類されないことを明確にした
- しかし、デロイトが保有するデータのデロイトにおける識別可能性にかかわらず、SRBが保有するデータ及びデロイトに転送された仮名化データは依然として個人データである
- 理由は、SRBがデータ主体に関する追加の識別データを保有しているためである (データ主体を特定するためのコメント及びデータベースを保有している)
- しかし、デロイトが保有するデータのデロイトにおける識別可能性にかかわらず、SRBが保有するデータ及びデロイトに転送された仮名化データは依然として個人データである
- 法務官の以下の見解を支持した:
- SRBは、GDPR13条 (1) (e) に基づき、データ主体に対し、そのデータがデロイトの保有する個人データであったか否か、また仮名化処理後の状態であるかを問わず、データ移転に関する情報を提供する義務を負う
- 仮名化処理の堅牢性は、SRBのデータ移転に関する情報開示義務に影響を与えない
- 情報提供義務に関する法的関係は、管理者 (Controller) とデータ主体との間に存在するであって、管理者 と処理者(Processor) の間には存在しない。そのため、管理者は当該移転を開示しなければならない
- 識別リスクが存在しない、又はそのリスクが軽微な場合、データは「個人データ」に分類されないことを明確にした
主なポイント
- 再識別が可能であれば、受領者が識別詳細に直接アクセスできない場合でも、仮名化データは個人データに該当し得る
- 管理者として行動する企業はデータ主体に対し、データ受領者について通知しなければならない。これは、データ受領者が当該データを個人情報とみなすか否かにかかわらない
- 集約化や仮名化をしても、データ保護法上の義務を免れるわけではない
- 管理者は、特にサードパーティの処理者を利用する場合、データ共有についての透明性とアカウンタビリティの原則に従わなければならない
- 仮名化は厳格に解釈されなければならず、企業は再識別リスクを十分に排除しているかどうかを評価する必要がある
事案の背景
- 2017年、管理者であるSRBは銀行に対する破綻処理案を採択した
- これにより当該銀行の資本性証券は清算された
- SRBはデータ処理者であるデロイトに対し、破綻処理の影響を受けた株主及び債権者 (合わせてデータ主体) が通常の破産手続下でより有利な立場となるか否かを判断するよう委託した
- デロイトは結果 (「評価3」) をSRBに提出した
- SRBは影響を受けたデータ主体の補償要否を判断すべく、以下の権利行使手続きを開始した:
- 関心を示した者の適格性を確認する初期登録段階
- その後の協議段階 (影響を受けたデータ主体が、デロイトの「評価3」を添付しRBの一次決定に対する意見を提出)
- 意見の集計、自動フィルタリング、分類を経て、SRBはデロイトに対し「評価3」に関連するこれらの意見を伝達した
- 協議段階で受け取った意見(アルファベットと数字のコード付)のみがデロイト社に転送された
- アルファベットと数字のコードは監査目的で開発され、SRBにより各意見が適切に処理および検討されたことが検証及び証明可能となる
- アルファベットと数字のコードにより、SRBのみが意見を登録段階で受け取ったデータと関連付けが可能であった
- デロイトは、登録段階で取得されたデータのデータベースにアクセスできなかった(現在もアクセスできない)
- データ主体:
- GDPRに基づきEDPSに5件の苦情を申し立てた
- SRBが公開したプライバシー声明にデロイトへのデータ送信が記載されていないと主張した
- SRBがGDPR13条 (1) (e) に基づく情報提供義務に違反したと申立てた
- GDPRに基づきEDPSに5件の苦情を申し立てた
EDPSの決定
- SRBがデロイトと共有したデータは、アルファベットと数字のコードを共有したため仮名化データであった
- これにより登録段階の回答と協議段階の回答を関連付けることが可能となった
- 登録段階におけるデータ主体の識別データはデロイトに開示されていない
- これにより登録段階の回答と協議段階の回答を関連付けることが可能となった
- デロイトはGDPR4条 (9) に基づく個人データの受領者であった
- SRBのプライバシーステイトメントにおいて、意見聴取プロセスで取得及び処理されるデータの潜在的な受領者とはされていなかった
- これはGDPR13条 (1) (e) への違反となる
- SRBのプライバシーステイトメントにおいて、意見聴取プロセスで取得及び処理されるデータの潜在的な受領者とはされていなかった
- SRBはEU委員会の支援を受け、GCに対し、当該決定の無効化及び違法性の宣言を求める訴訟を提起した
GCの決定
- GCは、EDPSの決定を無効とした
- その理由として、デロイトに伝達された情報を、EDPSがデロイトに伝達された情報の内容、目的、効果の検証は行うことなくGDPR4条 (9) に基づく「自然人に関連する」情報と推定した点を挙げた
- EDPSは、デロイトがデータ主体の再識別に必要な追加情報にアクセスする法的手段を有していたかどうかを調査しなかった
- そのためEDPSは、デロイトに伝達された情報がGDPR4条 (1)に定める「特定可能な自然人」に関連する情報だと結論づけることはできない
EDPSの控訴
EDPSは、GCの判決をCJEUに控訴した:
- EDPSは、GDPR4条 (1) および (5) に基づく「個人データ」の解釈についてGCの判断に異議を唱え、GDPR 第5条 (2) およびGDPR 第24条 (1)に基づくアカウンタビリティの原則への違反を主張した
- EDPSは「仮名化されたデータ」は依然として個人データであると主張した
- データ主体を識別可能な状態に保つ情報が依然として存在するため、データ主体は識別可能であり続けるからである
- EDPSは「仮名化されたデータ」は依然として個人データであると主張した
- EDPSによれば、SRBはデータ主体に対し、受領者に関する情報を提供する義務があった
- SRBとEU委員会は、仮名化されたデータは、それを仮名化した管理者にとっては個人データであり続けると主張した
- 受領者にとっては、データ主体が識別可能かどうかを検討する必要がある
- GDPR4条 (1) は、誰がデータ主体を識別できるかどうかを特定していない
- GDPR 前文26の趣旨およびGDPR13条 (1) (e) の文脈において重要なのは、受領者の視点である
CJEU(欧州司法裁判所)判決
SRBがGDPR第13条 (1) (e) に基づく情報提供義務を履行しなかったため、問題となっているEDPS(欧州データ保護監督官)の決定は確認される。司法裁判所は、法務官の意見に沿い、その判断に同意する。
個人データの概念の解釈
- コメントが自然人に「関連する」か否か
- コメントが投稿者に関連するか否かの判断では、 (単なる) 推定が適用される場合がある
- しかしながら、そのような推定がなくても、コメントは内容、 目的、効果に基づきデータ主体に関連するものである
- なぜなら、それらは金銭的補償に関するデータ主体の利益や権利に影響を与え得るからである
- しかしながら、そのような推定がなくても、コメントは内容、 目的、効果に基づきデータ主体に関連するものである
- 集計された内容もなお個人の見解を反映しており、それらを表明した者に関連する意見の集合体となる
- さもなければ、単にコメントを集計するだけで、情報が一人の自然人に関連するという要件を回避できることになる
- したがって、EDPSがコメントをGDPR第4条 (1) に基づき自然人に関連情報だと判断したことが誤りであるとのGCの認定は誤りである
- コメントが投稿者に関連するか否かの判断では、 (単なる) 推定が適用される場合がある
- データ主体の識別可能性を立証する必要性
- データ保護規則の適用範囲には二つの対照的なアプローチがある
- 追加識別データの入手可能性に関わらず、仮名化データは自動的にデータ保GDPRの適用範囲に含まれるべきか
- 仮名化データは、データ主体を合理的に識別可能な者のみに限り個人データとみなすべきか
- 仮名化によってデータ主体の識別可能性が排除されない場合、GDPR前文26の文言は無意味となる
- 仮名化と匿名化は以下の比較ができる
- 匿名化されたデータはGDPRの適用範囲外
- 仮名化されたデータは、データ主体が識別不可能である場合にのみ対象外
- したがって、仮名化されたデータが「個人データ」の定義から外れるのは、識別リスクが全く存在しないか、または無視できる場合に限られる
- これは、高いデータ保護水準を確保するための個人データの厳格な解釈である
- GDPRから識別不能なデータを除外しても、一定の場合法的責任を排除されない
- しかしながら、データ主体を合理的に識別できない主体にGDPR義務を課すのは不均衡である
- なぜなら、それは主体にとり、積極的な識別の試みが必要となるからである
- GCは、データ主体の識別が合理的は不可能であると判断するには、データの仮名化が十分に堅牢であるかどうかの判断が必要であると結論付けた
- データ保護規則の適用範囲には二つの対照的なアプローチがある
- 仮名化データの移転は情報提供義務に影響するか:
- 13条 (1) (e) に基づく情報提供義務は、データ主体と管理者間の法的関係の一部である
- 管理者と処理者間のものではない
- したがって、SRBはデータを移転の前に情報を提供する必要があった。デロイトが当該データを個人情報とみなしたか否かは関係がない
- 仮名化の堅牢性は、管理者の情報提供義務には関連しない
- 13条 (1) (e) に基づく情報提供義務は、データ主体と管理者間の法的関係の一部である
アカウンタビリティ原則への違反
仮に本事案において受領者の視点を考慮しないといけないと認められた場合でも、AGはGCの見解に同意する。すなわち、仮名化が不十分である理由を立証すべきはEDPS側であった
- なぜなら、SRBはコメントのフィルタリング、分類、集計を立証することで立証責任を免れるとAGは考えるからである
- したがってAGは、この上訴理由に関しては、原判が維持されるべきとの見解であった
【Source Title and Document】
CJEU Case C-413-23 – EDPS v SRB – CJEU ruling
