GDPRの基本概念に関するメモ:個人データ、コントローラー、法的根拠

個人情報保護

個情法について数週間集中的にリサーチをしたところ、いろいろ(再)発見があったのですが、最終的に納得の行く論文にまとまらなかったので(反省点は論点を絞ることに尽きます…)、リサーチ結果だけ簡単にここにまとめておくことにします。数週間分の記憶を一気に書き出しており、洗練されていませんが、ご容赦ください。

(2025/10/28:下線部を追記しました。)

 

 

個人データ

  • Opinion 4/2007 on the concept of personal dataが出発点。Identifyをsingling outと解釈する。
    • "[O]n the Web, web traffic surveillance tools make it easy to identify the behaviour of a machine and, behind the machine, that of its user. Thus, the individual’s personality is pieced together in order to attribute certain decisions to him or her. Without even enquiring about the name and address of the individual it is possible to categorise this person on the basis of socio-economic, psychological, philosophical or other criteria and attribute certain decisions to him or her since the individual’s contact point (a computer) no longer necessarily requires the disclosure of his or her identity in the narrow sense. In other words, the possibility of identifying an individual no longer necessarily means the ability to find out his or her name. The definition of personal data reflects this fact".
    • 先行する関連文書として、Working document on data protection issues related to RFID technology (WP 105)がある。
    • 目的や結果の考慮は、relating toの箇所で書かれているが、identifiedも同様に解してよいのではないか(Opinion 02/2012 on facial recognition in online and mobile services, Davis)。
  • BreyerがCJEUの先例。
    • 動的IPアドレスにおいてユーザーはidentifiedではないことに争いがないとした上で、ISPのデータとの照合を考慮しidentifiableとした。
    • Purtovaは、セッション終了後の保存の場面であることを重要事実と見て射程の限定を試みる。セッション中はidentifiedだが、終了後はidentifiableになるのだという。Breyerを読んだとき、最初に思ったのは、動的だろうがセッション中は識別しているのではということだったので、それなりに説得的に感じる。
  • Purtova, From knowing by name to targeting: the meaning of identification under the GDPRは、①識別には5類型あることを示し(その一つがtargeting; リアルタイム処理である)、②BreyerとWP29意見書は整合的に読みうることを示し(前述)、③UKの裁判例はidentifiedをindividuationとしていることを紹介する。
    • Individuationというのは、Oxford English Dictionaryにも載っている辞書的な言い換えのようだが、高木連載10とかなり似た発想で、興味深い。
    • ①の日本法への含意については、来月の情報ネットワーク法学会で発表予定。
  • Davis, Facial Detection and Smart Billboards: Analysing the ‘Identified’ Criterion of Personal Data in the GDPRは、消化しきれていないが、興味深かった(特にidentifiedとidentifiableに関して)。
  • EUでも、識別には狭義のアイデンティティ(identity in the narrow sense)が必要であるかのような解釈は、WP29意見書の後もなくなったわけではないようである。後述のIAB Europe事件でも争われている。その意味では、個情委が顔写真にだけは識別性を認めるのは、若干不思議である(Purtovaが引用するUKの裁判例では顔写真の識別性が争われたようである)。
  • Identified/identifiableをcontextualに解釈・適用するのであれば、もはや識別は行為(=処理)の属性と位置づけるべきで、客体(=データ)の属性と位置づけるべきではない気もしてくる。高木連載で引用されているUK Data Protection Act 1984はそうなっている(section 1(7))。ただ、同法では、storageやdisclosureがprocessingとは別に規定されており(section 1(9), Schedule 1, Part II, 8(b))、それらにはby reference to the data subjectはかかっていない。逆に、DPDのように広いprocessing概念の下で、その全体にby reference to the data subjectという限定を付けると、規制対象行為が狭くなりすぎるのかもしれない。そこで、DPDは、第一義的にby reference to…を要求しつつ(identified)、そのような処理の可能性があるデータにまで予防的に規制を及ぼしている(identifiable)、と言えるのではないか(高木連載10も参照)。このこととDavisの主張との関係は、精査できていないが興味深い。

 

コントローラー

  • 2010年代後半以降、Controller概念は拡張傾向にある。
  • Wirtschaftsakademie / Fashion IDJehovah's Witness / IAB Europeでは、方向性が異なるように見える。前者では、Facebookという明らかに全体を支配しているControllerがおり、同社による処理の「トリガーを引く」者がControllerとされた。後者では、個々のControllerの処理はいわば分散的に行われていたが、その「影の支配者」がControllerとされた。どちらにもやり過ぎではという批判はある。
  • Ducuing & Schroers, The Recent Case Law of the CJEU on (Joint) Controllership: Have We Lost the Purpose of ‘Purpose'?は、「目的」はGDPR上特別の意味があるはずだと批判する。実際、目的以外も含め、CJEUによるControllershipの認定はかなり雑に見える。
  • 諸判例は、「影響力のあるところに責任を負わせる」という一見合理的な思想に基づいている(IAB Europeに関して言えば、一種の製造物責任のようなものと言える)。問題は、Controllershipが認められた場合、GDPRの義務が束として課され、影響力の内容に応じて適用/不適用が定まるわけではないと思われることである。「法は不可能を強いない」のだが、「義務を遵守できないなら当該行為を差し控えるべきだ」という場面との区別は意外に難しい。そういう場合、一般的には、柔構造化や別建ての規制による補完が選択肢になるが、ある程度類型化ができなければ実際には難しい。
  • IAB EuropeやGuidelines 02/2025 on processing of personal data through blockchain technologies(public consultation版)からすると、IETF/W3CやDeFiプロトコル開発者もJoint Controllerになるのではないかとも思われるところである。Rossi & Keller, Are Internet Standard Developing Organisations Data Controllers Under the GDPR?は、IAB Europeの事実関係に即してIETF/W3Cには射程は及ばないとしており、合理的であると思われる。一方、Zafar, Reconciling blockchain technology and data protection laws: regulatory challenges, technical solutions, and practical pathwaysはDeFiプロトコル開発者がControllerとされる可能性が高いとしている。この点について、EDPBのblockchainガイドラインは何も述べていない(そのようなガイドラインに意味があるのかと思うところだが…)。
  • Dahi & Buchner, Device Manufacturers as Controllers – Expanding the Concept of “Controllership” in the GDPRは、エッジ処理を行うスマートデバイスのproducer (cf. provider)がControllerとみなされる可能性を示している。CJEU判例からするとそうなりそうであるが、そうなれば、ハードウェアへの組み込みは本質的な要素ではないので、純粋なソフトウェアの開発者も同じロジックでControllerとされる可能性が出てくることになる。ローカルで動作するデジタルアイデンティティウォレットの開発者もその対象となりうる。
  • 日本法はOECD準拠と言いながら、processor (service bureau)を個人情報取扱事業者に含めている。交渉力を有するprocessorの実効的監督の問題もあり、分離すべきであるが、分離した上でEUのような方向に向かうべきかは悩ましい。金融規制の文脈では、行為規制が十分に柔構造化されていないために、業該当性が狭く解されている場面は多くある。

 

法的根拠

  • Bundeskartellamtが主要な法的根拠について述べた後、Mousseで若干の進展がある。Mousseは性自認に関する権利やdata minimisationと結びつけている(そういう問題なのか…?という気はする)。
  • 同意については、
    • Guidelines 05/2020 on consent under Regulation 2016/679である程度解釈が固まり、現在はダークパターンに重点(の一つ)があるようである(e.g. DPC - LinkedIn)。逆に言えば、それ以前、特にOpinion 15/2011 on the definition of consent以前は、黙示的同意や利用規約への組み込みが広く行われていたようである。
    • 「同意疲れ」が人口に膾炙しているが、2010年代前半の議論であることに留意が必要である。当時、同意の個別性や、同意の前提としての情報提供が(少なくともそれほど強くは)求められておらず、そこに正当利益のようなものがないePrivacy指令が相まって、無意味な同意取得が溢れ、その結果、人々が同意取得には意味がないと感じるように至った背景があるのではないか。その意味で、「同意のインフレ」と言ったほうがよいかもしれない。なお、日本は枝葉の規制ばかり付け加えてきたので、このあたりはその頃からあまり進歩していないようにも思われる。
  • 契約上の必要性については、
    • 「データサブジェクトに提供される契約上の給付の不可分の要素となっている目的の達成に客観的に不可欠」という定式が定着している。個情委が3月のペーパーで「契約の履行のために必要不可欠」と書いたのに対し、経団連は不可欠性までは求められないと批判しているが、事実誤認である(前後も見ると、実際に言いたいのは契約上の必要性だけでなく正当利益も入れて欲しいということのようにも見え、それはそれで合理的な提案だと思われるが)
    • 一方、Bundeskartellamt判決自体に対する批判として、Nettesheim, Data Protection in Contractual Relationships (Art. 6 (1) (b) GDPR)は、同意は「ゴールデンルール」ではない、契約上の必要性を過度に狭く解釈することは同意の希釈化を招き、かつ消費者の交渉力を低下させる(広告閲覧を対価とすることができなくなるので)、実際の契約を重視すべきであり、当局(裁判所)が考える理想の契約を押し付けるべきではない、などとする。
    • なお、Bundeskartellamt判決の英語版では"be objectively indispensable for a purpose that is integral to the contractual obligation intended for the data subject"となっているが、これは事件言語であるドイツ語からの誤訳だと思われる。ドイツ語版とフランス語版(CJEUの公式言語)では、契約上の給付(Vertragsleistung / prestation contractuelle)であって、契約上の義務ではない。
  • 正当利益については、
    • 特にbalancing testは不確実であり、そのことがreasonable expectationの導入に繋がったが、Bundeskartellamt判決からすると、その認定も恣意的であることを免れていないように見える。GDPRの保護法益を特定し、内在的制約と外在的制約(言い換えれば、保護法益を侵害しないから処理を認めてよい場面と、正当利益が保護法益を上回るから処理を認めるべき場面)の区別を付け、意味のあるbalancingを行うべきではないか。
    • EUは、自己決定の過度な重視が背景にあるのか、正当利益を過度に狭く解しているように見える。そのような解釈は、有益な個人データ処理を諦めさせるか、同意を弛緩させるかのいずれかに繋がるが、EUでは前者が、日本(27条1項2号、3号はそれぞれ公益・権利の内容や必要性の内容を限定したものといえる)では後者が現実化しているように見える。
      • 米国に関してであるが、Khan, After Notice and Choice: Reinvigorating “Unfairness” to Rein In Data Abusesは、FTC法5条はunfair/deceptive acts/practicesを禁止しているが、長年FTCの法執行はdeceptive practicesに偏り、プライバシー文脈ではそれがnotice & choice偏重として現れていた;Khan委員長下でFTCはunfair practicesにも積極的に執行するようになった;具体的には、①データ収集・使用・保持の制限、②センシティブデータ使用の制限、③ダークパターン排除(deceptive practicesに当たらない可能性があったようである)、④未成年者保護、に向けて大量の法的措置を取ったとする(ただし、①は中身を見るとdata minimisationかstorage limitationにとどまるようである)。正当利益を過度に狭く解することは、これとは逆の方向性である。
      • DMA 5条2項は、①ゲートキーパー(GK;同法の規制対象者)がコアプラットフォームサービス(CPS;同法の規制対象役務)を利用する第三者のサービスを利用するエンドユーザーの個人データをオンライン広告の目的で処理すること、②CPSに関して取得した個人データを他のCPSやGKが提供する他のサービスに関して取得した個人データと結合すること、③CPSに関して取得した個人データをGKが提供する他のサービスとの間で横断利用(cross-use)すること、④個人データを結合するためにユーザーをGKが提供する他のサービスに登録させることについて、同意を要求し(なお、"unless the end user has presented…"は①-④の全部にかかっているので注意)、契約上の必要性・正当利益に依拠する可能性を否定している。同項は、Bundeskartellamt事件の影響を受けたように見えるが、主としてcontestabilityの観点からのルールとされており(recital 36, 37, Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation)、個人データ保護とは区別すべきであろう。なお、Bundeskartellamt事件(Bundeskartellamt決定、CJEU判決)では、競争法違反とGDPR違反の認定は基本的に区別されている(支配的地位濫用というフレーミングがGDPRの解釈に影響を与えているようには見えない)。
    • Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPRは、不確実性を解消することを試みたようだが、結局、一般論の繰り返しや「ケースバイケース」にとどまっているように見える。
    • 一方、UKのData (Use and Access) Act 2025は①公務等遂行者の要請に応じて行う開示、②国家安全保障・公共の安全・防衛のために必要な処理、③緊急事態(パンデミック、重要インフラの停止、大規模災害等)への対応に必要な処理、④犯罪の発見・捜査・予防、犯罪者の拘束・訴追に必要な処理、⑤脆弱な個人(未成年者、一定の要件を満たす成年者)の保護に必要な処理を、recognized legitimate interestとして、balancing testを不要としているが、疑問である。GDPRは、①contractual necessityであれば契約法に従った自己責任を問えること、②法令上の義務履行・公益目的であれば法律自体が個人データ保護を定めることが前提であり、③それ以外については、vital interestsに限定することで初めてbalancing testを不要としている。言い換えれば、単なる権利保護はbalancingに服している。DUAAはそのようなbalancingの機会を奪ってしまうのではないか。この点について、EPRS(欧州議会付属の研究機関)は、今年(2025年)3月、Revisiting the GDPR: Lessons from the United Kingdom experienceにおいて、懸念を表明した。また、EDPBは、10月、Opinion 26/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by the United Kingdomにおいて、継続的監視が必要としている。
    • 正当利益の適用例として、AI開発を巡る議論は興味深い。EDPBのOpinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models(2024/12/18)とHmbBfDIのDiscussion Paper: Large Language Models and Personal Data(2024/7/15)が対立する内容になっているが、個人的には後者のほうが合理的に見える。EDPBはAIモデルの匿名性を問題にしているが(ただし質問自体はDPCが設定したものである)、問題設定自体が適切ではなく、①学習時の学習用データの処理と②推論時の入力/出力データの処理のそれぞれについて、正当利益により正当化されるのはどのような場合か(どのようなセーフガードが必要か)を考え、個別の事情に応じて①に②のリスクを織り込んだり(この場合、①において②の弊害がどれほど現実的か、またコントロール可能かが問われるべきであろう)、②にprovider-deployer/user間にJoint Controllershipを成立させれば足りるのではないか。
    • 同様の論点について、ケルン高等裁判所の決定(2025/5/23)が公表されている。本件では、Verbraucherzentrale NRW(ノルトライン=ヴェストファーレン州消費者保護センター、Fashion IDの原告でもあった)が、MetaのFacebook/Instagram内の投稿を利用した(生成)AI開発について、差し止めの仮処分を申し立てた。裁判所は、HmbBfDIに意見聴取した上、申立てを却下した(確定。なお、別途本案訴訟が可能であり、かつ緊急のためCJEU照会は実施されず)。決定は、学習自体が私生活の尊重・個人データ保護の権利への干渉となるとしつつ、公開データのみを処理していること、仮名化、セキュリティ、オプトアウト、情報提供等を考慮し、ユーザーが合理的に予測でき、かつユーザーへの影響も限定的として、正当利益の優越を認めている。結論としては合理的であるものの、GDPRが対処すべきリスクとそうではないリスクの切り分けという観点が欠落しているように思われる。前述の考慮要素もそうであるし、balancing testの冒頭で、「AI(ドイツ語ではKI)の後の操作によって生じうる他の権利侵害(例えば、偽情報、操作、その他の有害な実践)は、現時点では十分に予見可能ではなく、別途追及することができる。」としているが、(予見可能性を考慮すること自体は適切であるとしても、そもそも、)それらは(特に学習データとの関係で)GDPRの保護範囲に含まれる利益なのか。この点について、高木ブログも参照。
    • Kamara & Hert, Understanding the Balancing Act Behind the Legitimate Interest of the Controller Ground: A Pragmatic ApproachCuijpers et al, Data Protection Reform and the Internet: The Draft Data Protection Regulationは正当利益全般について参考になる。

 

センシティブデータ

  • 個人データ、コントローラー、法的根拠と比べると周辺的だが、紹介しておく。
  • 上記ケルン高裁決定は、9条1項との関係では、nicht zielgerichtete Verarbeitung(non-targeted processing)であることに着目し、GC and Othersを援用し、事後的な削除による対応を認めている。高木論文/意見書や後述のSolove論文は、sensitive dataの上乗せ規制は個人データ保護法制にそぐわないことを示唆しているが、「母法」たるGDPRもこのように後退を余儀なくされていることは、日本法にとっても示唆的である。
    • なお、GC and Othersは、検索エンジンがsensitive dataが掲載されたWebサイトへのリンクを掲載すること(referencing)について、DPD 8条1項(GDPR 9条1項に相当)はデータサブジェクトの権利行使があった場合に適用されるとする(para. 47)。そのような処理が許される理由は判決には明示されていないが、AG意見書paras. 44-56を見るに、端的に実務上ワークしないことが理由となっているように見える。
  • 2024年のSolove, Data Is What Data Does: Regulating Based on Harm and Risk Instead of Sensitive Dataは、個人データのリスクはcontext and useから生じる(natureではない)、データの保護ではなく弊害の防止に注力すべき、センシティブデータ規制は避けるべきとしており、興味深い。Soloveは、同論文で「アルゴリズムは、重要とみなす特性に基づいて新たな差別の形態をもたらす可能性がある。これらの特性は、従来差別的とされてきた人種、性別、年齢といったものではなく、不思議な相関関係に基づく偶発的な特性である場合もある。例えば、アルゴリズムが「足の大きさが職務遂行能力と相関している」と判断した場合、この特性が採用に用いられる可能性がある。その結果、新たに望ましくない特性が生じ、それが体系的に人々の利益または不利益に使用されることになるかもしれない。」と述べている。さらに2023年の別の論文Solove, The Limitations of Privacy Rightsでは、「プライバシー法の最も重要な目的は人々を不適切な決定(faulty decisions)から保護することである」とも述べている。これらは高木連載の指摘と共通する。

 

日本法について

  • 法的根拠を導入し、第三者提供制限を廃止するのが素直ではないか。Balancing testの不確実性が実質的なハードルかもしれないが、現在の日本はGDPRよりも保護法益の議論は進んでいるし(高木先生に感謝)、裁判例では財産保護例外の必要性について被侵害利益とのbalancingを考慮したものが現れているし(東京地判令和5年3月9日(破産者情報通知サービス);岡田ほか607頁に紹介がある)、学術研究例外の箇所では「個人の権利利益を不当に侵害」という規範的要件が既に取り入れられている。他の立法例では、独禁法の「不当に」も相当に抽象的である。
  • 仮にそうしない場合、現行法をより効果的に運用することに注力することになろう。利用目的による制限においては、既に公序良俗違反や合理的予測が考慮されているが、保護法益を正当化できない態様で侵害するものを公序良俗違反とし、かつ、合理的予測を厳密に適用するのであれば、GDPRの正当利益に接近する。合理的予測の厳密な適用は、目的外利用の規律を通じて、積極的に同意を要求することに繋がる。その上で、同意は厳格化すべきである。私法上の意思表示との混同は、現在でも見られるが(その典型が電気通信分野ガイドラインだが、同意取得に係る参照文書からすると、問題自体は認識されているのだろう)、参照すべきは刑法上の被害者の承諾である。生命等保護例外・公衆衛生等例外は、必要性に被侵害利益とのbalancingを読み込むのであれば、権利・公益全般に拡大してもよく、同意取得困難要件は外してよい(ただし実効的な監督ができるかという問題は生じ得、実際にはそれがハードルかもしれない)。
  • Von Grafenstein, The Principle of Purpose Limitation in Data Protection Laws(のCのIIIの2)は、purpose limitationにおけるcompatibilityについて、further processingが異質のリスクを伴うかで判断すべきだとしている。JILISレポートの6〜7頁と一致する内容であり、利用目的による制限を積極的に運用する上で参考となろう。
  • リクナビ事案は、全体が個人データ処理だったのであり、リクナビ社については、適正取得義務違反(事情を知らない本人を利用した応募者管理IDの取得)、利用目的特定義務・利用目的による制限違反(行動履歴のスコアリングへの利用)、正確性確保の努力義務違反(関連性がないデータを使用したスコア)、第三者提供制限違反(スコアの提供)、顧客企業については、適正取得義務違反(違法に取得・生成・提供されたデータの取得)、利用目的による制限違反(スコア利用は目的達成に必要とは言えない)、正確性確保の努力義務違反(スコアのロジックを確認していなかった場合)、第三者提供制限違反(事情を知らない本人を利用した応募者管理IDの提供;実質的には顧客企業からリクナビ社への提供と見るべきであろう)、がそれぞれ(通知・公表義務違反、確認・記録義務違反に加えて)問題となり得たのではないか。また、同事案は、Joint Controllershipの必要性を検討する上でもよい素材となりうる。