-要配慮個人情報の推知の論点について、2022年8月1日のCJEU判例を見つけたので、事案と判断を紹介した上で、若干の検討を書いていきます。和訳は全て機械翻訳の上加筆修正したものです。
OT対リトアニア政府高官倫理委員会
事案の概要
事案の概要は以下のとおりです。本記事に関係するのは論点2です。
リトアニアのOT氏は、環境保護に関わる公的資金を受ける機関QPの役員である。倫理委員会は、OT氏が個人的利益の申告を怠ったとして、利益相反ルールに違反したと判断した。OT氏はこれに対し、彼は公務員ではなく、公共サービスを提供していないため申告義務はないと主張した。また、申告が必要だとしても、それが彼や他者のプライバシーを侵害する旨主張した。
倫理委員会は、OT氏がEUとリトアニアの資金を受ける機関の役員であるため、申告義務があると反論した。裁判所は、利益相反ルールがGDPRとEU基本権憲章に適合するかについて疑義を持ち、CJEUに以下の2点を照会した。
- GDPR第6条1項(e)に基づき、公共の利益のために個人データの処理が必要とされる場合、個人的利益の申告をインターネット上で公開することは、適切かつ比例的な手段といえるか。
- GDPR第9条1項に基づき、特別カテゴリの個人データの処理が禁止されているが、申告データの公開が、個人の政治的見解や性的指向などのセンシティブな情報を含む場合、公開は正当化されるか。
関係条文
論点2に関係するGDPR9条1項は以下のとおりです。特にrevealing/concerningという文言が重要です。
(a)人種的若しくは民族的出自、政治的意見、宗教的若しくは哲学的信条若しくは労働組合員であることを明らかにする(revealing)個人データの処理又は(b)遺伝子データ、自然人を一意に識別するためのバイオメトリクスデータ、健康に関する(concerning)データ、若しくは自然人の性生活若しくは性的指向に関する(concerning)データの処理は禁止される。
(なお、for the purpose of uniquely identifying a natural personはやむを得ず上記のように訳しましたが、実際にはprocessingにかかっていることにご留意ください。)
判決文
判決文の関係部分は以下のとおりです。
[122] 指令95/46の第8条第1項では、加盟国は、人種又は民族的出自、政治的意見、宗教的又は哲学的信念、労働組合の加入状況を「明らかにする」(revealing)個人データの処理や、健康や性生活に「関する」(concerning)データの処理を禁止することが定められている。GDPRの第9条第1項では、特に、人種又は民族的出自、政治的意見、宗教的又は哲学的信念、労働組合の加入状況を「明らかにする」個人データの処理や、健康又は自然人の性生活や性的指向に「関する」データの処理が禁止されると規定されている。
[123] 法務官の意見85段落で述べられているように、これらの規定で使用されている「明らかにする」という動詞は、本来的にセンシティブなデータだけでなく、推論や相互参照を含む知的操作を通じて間接的にセンシティブな情報明らかにするデータの処理を考慮することに整合的であるが、一方で「関する」という前置詞は、処理とデータの間により直接的かつ即時的な繋がりが存在することを示すようにも思われる。
[124] このような解釈によれば、問題となるセンシティブデータの種類によって区別を設ける結果となるが、このことは、条項の文脈解析(contextual analysis of those provisions)、特にGDPRの第4条第15項において、「健康に関するデータ」(注:concerningが使われている。)は、健康状態に関する情報を「明らかにする」(reveal)データを含む自然人の身体的又は精神的健康に関連する個人データであるとされていること、GDPRの前文第35項において、健康に関する個人データには、過去、現在又は将来の身体的又は精神的健康状態に関する全てのデータが含まれるべきであるとされていることと整合しない。
[125] さらに、「特別なカテゴリの個人データ」と「センシティブデータ」の用語の広い解釈は、自然人の基本的権利と自由、特に個人データの処理に関する私生活の保護を確保することを目的とした指令95/46及びGDPRの目的によって確認されている(本判決の第61項を参照)。
[126] 反対の解釈は、処理されるデータの特別なセンシティブ性により、個人データの保護及び私生活の尊重に関する基本的権利に対する特に深刻な干渉を引き起こす可能性があることを理由に、指令95/46の第8条第1項及びGDPRの第9条第1項の目的に反することとなる(指令95/46の前文第33項及びGDPRの前文第51項を参照)。
[127] したがって、自然人に関するセンシティブな情報を間接的に明らかにする可能性のある個人データの処理が、これらの規定によって強化された保護制度の対象とならないと解することはできない。
[128] 上記の全ての考慮事項に照らし、第2の質問に対する回答は、指令95/46の第8条第1項及びGDPRの第9条第1項は、個人的利益の申告内容を収集及び確認する公的機関のウェブサイトに個人データが公開されることで、自然人の性的指向を間接的に明らかにする可能性がある場合、これらの規定の目的のために特別なカテゴリの個人データの処理を構成するものと解釈されなければならないというものである。
コメント
- 3年ごと見直しにおいて、山本教授、森弁護士が、要配慮個人情報を推知する行為を要配慮個人情報の取得規制の対象とすべき旨の意見を述べている。そこでは主として推知を「取得」に含めることが念頭に置かれているものと思われる。これに対して、本判決は、要配慮個人情報の定義のほうを操作するアプローチを示唆している。
- 実はガイドラインは既にこのようなアプローチに言及しており、「次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」とされている。現行法上、要配慮個人情報は「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。」とされており、revealing/concerningに相当する文言はないので、 この解釈としては正当だと思われる(なお、政令への委任文言は「…記述等」なので、政令で「推知させる情報」を規定することは不可能ではない)。
- もっとも、私は、パブコメ意見において、処理の法的根拠を要求し、第三者提供規制は廃止すべきである旨述べた。このように改正する場合、要配慮個人情報の取得の規制は、要配慮個人データの処理(取得に限られない)の法的根拠に置き換えることになる。この場合、取得を行わなくても、実際に要配慮個人データを推論する限り、強化された法的根拠が適用されることになり、「取得」概念を操作(拡張)する意味は失われる(この意味で、推論が取得に当たるかは日本法固有の論点である)。本判決は、そのような前提で、実際には推論を行わない場合に、推論が可能であることをもってセンシティブデータ処理に該当するかを判断したものと位置付けられるべきである。