本ページではGDPRにおける「個人データ」とは何を指すのかを具体的に説明していきます。
GDPRにおける「個人データ」の定義
GDPRにおいて、「識別された、または識別され得る自然人に関するすべての情報」(GDPR第4条)を個人データとして定義しています。要するに、EEA域内に籍を置いている人々を対象に、彼らを識別することができる(もしくはできる可能性のある)情報は、すべて「個人データ」に該当するということになります。
また、単体のデータでは個人を識別できなくても、複数のデータを組み合わせて個人の識別ができる可能性がある場合は、それも個人データとして考えることになっています。
以下は、個人データとしてみなすことになっている情報の一部です。
- 氏名
- 識別番号
- 住所
- メールアドレス
- オンライン識別子(IPアドレス、クッキー)
- クレジットカード情報
- パスポート情報
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
「個人データ」が適用される範囲
個人データとはEU圏内に籍を置く人々の情報であると書きましたが、正確には国籍や居住地に関係なく、旅行や短期出張でEEA域内を訪れた人物や、逆にEEAから国外に短期滞在している人物もGDPRにおける個人データをもつ個人の対象となります。
特に取扱いに配慮が必要な個人データ
上記に挙げた個人データの例は一部ですが、人種、政治的思想、医療(身体的、生物学的、遺伝子的)等に関する情報は、仮に他者に情報が漏洩した場合、不当な差別を引き起こす可能性があるため、特に取扱いには配慮が必要とされています。本人(情報主体)の明確な同意がある等、特別な条件を満たさない限りは取扱を禁止されている場合もあります。(「特別なカテゴリの個人データ」:GDPR第9条)
以下が、特に取扱いに配慮が必要な個人データとなっています。
- 人種的素性
- 民族的素性
- 政治的思想
- 宗教的信条
- 哲学的信条
- 労働組合員資格
- 遺伝データ
- 一意な識別を目的とした生体データ
- 健康に関するデータ
- 性生活または性的指向に関するデータ
本ページではGDPRにおける「個人データ」の定義と範囲、そして個人データが適用される個人の範囲について解説しました。
こうした情報を把握した上で、GDPRに際して個人データをどのように取り扱っていくかを判断する必要があります。
0コメント