information

2025年9月4日に出された欧州司法裁判所のSRB vs EDPS（C413/23P）事件の判決と、同11月19日に出された、これを踏まえた内容を含むデジタル･オムニバス提案が、一部界隈で話題になっている。デジタル･オムニバス提案は、いくつかの法律に対する改正提案がセットになったものであるが、この中でもいわゆるGDPRに対する改正提案で、個人データ該当性について、主体ごとに相対的に判断されるべきことが条文で明記されるようになる提案は非常に問題であるとするものが散見された。ただ、私自身は、それはそうだろう、何を騒いでいるのだろうと思った。そのため、principledrive内部で確認してみたところ、問題はそこではないのではという理解に到達したので、コラムとして出してみようと思う。

そもそも難しい議論をするまでもなく、個人データ利活用の問題は、『「識別利用」の有無とその回避性の担保』という原理原則から説き起こせばそれほど難解な議論は不要というのがprincipledriveのスタンスではあるのだが、しょうがないので難解な概念的な議論に首を突っ込むことにする。

この一連の流れの最大の問題点は、「仮名化」という概念に対する理解であると思われる。GDPRの定義では、「‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person」と定義されている。
　重要なのは、「the personal data can no longer be attributed to a specific data subject without the use of additional information」であり、日本語にすると、「追加的な情報の利用なしには、もはや特定のデータ主体に到達することができない個人データ」となる[1]。

一方で、「個人データ」そのものの定義を振り返ってみると、「‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular…」となっている。
　こちらで重要なのは、「an identified or identifiable natural person」であり、日本語にすると、「識別された又は識別可能な自然人」である（以下、単に「識別可能」という表現で代用する）。

この「仮名化」と「個人データ」概念を見比べれば明らかなとおり、仮名化は特定のデータ主体への到達可能性を問題にしている概念であり、個人データは単に識別可能性を問題にしている概念である。
敷衍すると、個人データの中には、特定のデータ主体へ到達可能な個人データと、特定のデータ主体へ到達不可能だけど識別することは可能な個人データの2つがある。このうち前者（特定のデータ主体へ到達可能な個人データ）を仮名化すると、特定のデータ主体へ到達不可能な識別可能データになる、となりそうである。
　そしてこれを例えばA社からB社に渡したときに、個人データ該当性自体は相対的に見るのは当たり前で、ただ、識別可能なデータセットがB社に渡った途端に識別可能性が失われることは通常ないので、何が問題なの、というのが、冒頭で述べた私が直感的に思ったことなのではないかと思われる、ということである。

ところが、SRB vs EDPS判決は途中でおかしなことを述べている。73段落で「it is apparent from the wording of Article 3(6) of Regulation 2018/1725 that the concept of ‘pseudonymisation’ presupposes the existence of information enabling the data subject to be identified.」[2]と述べるのである。お分かりいただけただろうか。判決は、特定のデータ主体への到達可能性の問題＝識別可能性の問題と認識している可能性がある。そして、デジタル･オムニバスは、この判決の考え方を踏襲したような文言の追記を提言している。

この混同が起きると、確かに個人データ該当性を相対的に行うことに問題が生じ得る。なぜなら、「特定のデータ主体へ到達可能なデータセットがB社に渡った途端に到達可能性が失われることはよくある」からである。
　そして、到達可能性＝識別可能性になってしまうと、B社に渡った途端に個人データではなくなる可能性が急激に高まる。個人データでなくなったデータに対して、個人データ保護の規律は及ばない。こういうことではないかと思う。

デジタル･オムニバス提案のうち、いわゆるAI Actに関するものについては、まあそうだろうとしか今のところ思っていない。principledriveでは、AI ActはEUの価値判断であるから、あの分類をそっくり真似するようなAIガバナンスは構築するべきでないと、事あるごとにクライアントの方などには申し上げていた。
　ただ、この個人データや仮名化に関するものについては、むしろ逆に現場に混乱をもたらしうる可能性もあるので注視が必要かもしれない。