「EUでも提供元基準か提供先基準かが争点になっているぞ」と巷で話題の、EDPS v SRB事件。法務官意見が出たよと聞いたので、Claudeに丸投げしてみた。
事案の背景:
スペインの銀行(Banco Popular)の破綻処理に関連して、株主や債権者の補償請求を処理する過程で、単一破綻処理委員会(SRB)が外部の会計事務所(Deloitte)に仮名化された個人データを提供しました。しかし、SRBはこのデータ移転について当事者に事前の通知を行いませんでした。
主な法的争点:
法務官の見解:
法務官は、これらの理由から、原判決を破棄し、SRBの通知義務違反を認めるべきとの意見を述べています。
この事案は、EUのデータ保護法制において、仮名化データの取り扱いや、データ管理者の透明性義務の範囲を明確にする重要な機会となっています。
第一に、委託と第三者提供の区別について、EU法では「recipient(受領者)」という概念を採用しており、委託先も含めて広く「受領者」として捉えています。これは日本法のように委託先と第三者提供先を明確に区別する考え方とは異なります。
第二に、透明性の原則に関して、EU法では極めて重視されており、データ主体の権利として、自分の個人データがどのように取り扱われるかについて包括的に知る権利が認められています。このため、委託先への提供であっても、データ主体に対する通知が必要とされています。
第三に、仮名化データの取り扱いについて、日本法では「仮名加工情報」として独立した類型を設けていますが、EU法では基本的に個人データの一種として位置付けられています。ただし、本件では仮名化データが個人データに該当するか否かという論点以前に、データ収集時点での通知義務が問題となっています。
本件の特徴的な点は、SRBという EU の機関が、破綻処理という公的な任務の遂行のために、外部の専門家(Deloitte)にデータを提供したという文脈です。日本でも、例えば金融機関の破綻処理において、預金者等の情報を外部専門家に提供する際の取扱いについて、検討の余地があるかもしれません。
このように見ると、EU法は個人の権利保護により重点を置き、データ主体の知る権利を幅広く認める傾向にあるのに対し、日本法は事業者の実務上の負担にも配慮しつつ、より柔軟な規律を採用していると言えます。
本件のような破綻処理における外部専門家の関与は、必ずしも単純な「委託」には該当しない可能性があります。これは以下の理由によります。
第一に、破綻処理における外部専門家の役割は、単なる委託先としての業務遂行というよりも、独立した専門家としての評価・判断を行うという性質を持っています。本件でも、Deloitteは"independent person"として関与しており、SRBの指示に従うだけでなく、独立した立場から評価を行うことが求められています。
第二に、日本の金融機関の破綻処理においても、預金保険機構等が外部の専門家に依頼して財産評価等を行う場合がありますが、これは単純な業務委託というよりも、独立した専門家としての判断を求めるものと解釈できます。
第三に、このような独立した専門家による評価は、破綻処理という公的な性格を持つ手続きの一環として行われるものであり、通常の事業者間の業務委託とは異なる性質を持っていると考えられます。
したがって、日本法においても、このような場合は単純な委託関係ではなく、第三者提供に該当する可能性があります。ただし、その場合でも、法令に基づく場合や、公共の利益のために必要な場合として、本人同意の例外に該当する可能性が高いと考えられます。
このように、破綻処理における外部専門家の関与という特殊な文脈においては、日本法でも、個人データの取扱いの法的性質について、より詳細な検討が必要となる可能性があります。
まず、個人データの定義に関する基本的な枠組みとして、2018/1725規則第3条(1)に基づき、情報が「特定の自然人に関連する」ものであり、かつその自然人が「識別可能」であるという2つの要件を検討しています。
第一の「関連性」要件について、法務官は意見や評価(本件では株主・債権者のコメント)については、その作成者との関連性が推定され得ると述べています。これは、意見の内容・目的・効果を詳細に検討するまでもなく、意見はその作成者の論理や主観的見解を反映しているため、必然的に作成者に「関連する」情報となるという考え方です。
第二の「識別可能性」要件について、より重要な論点は、データ主体への情報提供義務が生じる時点に関するものです。法務官は、この義務はデータ管理者(SRB)とデータ主体との法的関係に基づくものであり、データを収集する時点、遅くともデータの受領者が決定された時点で生じると指摘しています。この時点では、SRBは識別情報を保持しており、データ主体は明らかに識別可能です。
したがって、後にDeloitteに提供される際に仮名化されたとしても、それは当初の情報提供義務の存在に影響を与えないとされます。つまり、Deloitteが実際にデータ主体を識別できるか否かは、SRBの情報提供義務の存否を判断する上では重要ではないとしています。
このように、法務官意見は、個人データの該当性を、データ管理者の義務が発生する時点に着目して判断するという考え方を示しています。これは、データ保護法の目的である透明性の確保と、データ主体の権利保護を重視する解釈といえます。
この理論構成は、個人データの該当性を、データの性質そのものではなく、データ管理者の義務との関係で機能的に捉える視点を提供しており、注目に値します。
破綻処理における評価の役割
Deloitteは、EU規則806/2014に基づく「独立した者」として、Banco Popularの破綻処理において重要な評価業務を担当しています。具体的には、破綻処理された場合と通常の倒産手続きが行われた場合とを比較し、株主や債権者がどのような取扱いを受けることになったかを評価する任務(Valuation 3と呼ばれる評価)を行いました。
仮名化データの具体的な使用
Deloitteは、株主や債権者から提出されたコメントのうち、Valuation 3に関連するものを、フィルタリング、分類、集約された形で受け取っています。これらのコメントには識別子(33桁のグローバルユニーク識別子)が付されていますが、コメント提出者の個人識別情報へのアクセスはありません。
評価への反映
これらの仮名化されたコメントは、Deloitteが最終的な評価を行う際の考慮要素として使用されます。株主や債権者の意見を踏まえることで、より適切な評価を行うことが可能となります。この評価結果は、最終的にSRBが補償の要否を判断する際の重要な基礎となります。
このように、Deloitteによる仮名化データの使用は、破綻処理における公正な評価プロセスの一環として位置付けられています。個人を特定せずにコメントの内容を評価に反映させることで、プライバシーの保護と評価の客観性の確保を両立させようとする仕組みといえます。
現状の法的枠組み
GDPRおよび2018/1725規則では、仮名化データは原則として個人データとして扱われます。これは、仮名化が個人データの保護のための技術的措置として位置付けられており、データの法的性質を変更するものではないという考え方に基づいています。
しかし、本件で注目すべき議論
本件でSRBが主張し、原審の一般裁判所が認めた考え方は、「データ受領者の視点」という新しい観点を提示しています。これは、仮名化データが個人データに該当するか否かを、データを受け取る側が合理的な手段で個人を識別できるかという観点から判断しようとするものです。
法務官の反論
しかし、法務官意見は、この考え方を明確に否定しています。その理由として:
実務への示唆
この議論は、仮名化データが個人データでなくなる可能性を認めるものではなく、むしろ個人データの取扱いに関する義務の発生時点と範囲を明確にする文脈で理解すべきと考えられます。つまり、仮名化は依然として保護措置の一つとして位置付けられており、データの法的性質を変更する手段としては認められていないと解釈できます。
したがって、「仮名化したら個人データでなくなる」という考え方は、GDPRの基本的な枠組みの中では受け入れられないと考えるべきでしょう。本件の議論は、その原則を変更するものではなく、むしろ個人データの取扱いに関する義務の適切な範囲を画定しようとする試みとして理解すべきです。
法的判断の枠組み
2018/1725規則およびGDPRにおいて、データが「個人データ」に該当するかどうかは、そのデータから個人を識別できる可能性によって判断されます。その際、「合理的に利用される可能性のある手段」を考慮することが求められます。
Deloitteの立場からの検討
本件では、Deloitteは以下のような状況にあります:
このような状況において、Deloitteが個人を識別する手段を合理的に利用できるかどうかが問題となります。法務官意見では、この点について詳細な検討は避けていますが、むしろ情報提供義務の発生時点という観点から問題を解決しようとしています。
実務的な示唆
この問題は、データ保護法制の基本的な考え方に関わる重要な論点を提起しています。仮に、Deloitteにおいて個人データではないと判断された場合、同様の状況における他の事業者の義務にも影響を与える可能性があります。しかし、そのような解釈は、データ主体の権利保護を弱める結果となりかねません。
したがって、たとえDeloitteが実際には個人を識別できない状況にあったとしても、データ保護法制の目的からすれば、より慎重なアプローチを採用することが望ましいと考えられます。つまり、仮名化データについては、原則として個人データとして取り扱うべきということになります。
Deloitteにおけるデータの位置づけを検討する際には、以下の観点が重要です。
第一に、Deloitteは破綻処理における評価という重要な判断を行う立場にあります。この評価は、最終的に株主や債権者の権利に影響を与える可能性があります。たとえ直接的な決定権限がなくとも、その評価は意思決定プロセスの重要な一部を構成します。
第二に、データ保護法制の目的は、単に個人の識別可能性を管理することだけではなく、個人に関する情報の取扱いが適切に行われることを確保することにあります。この観点からすれば、データの利用目的や影響力も考慮に入れる必要があります。
第三に、当該データをDeloitteにおいて個人データとして扱うことにより、その取扱いに関する適切な管理体制の構築が求められます。これには、目的外利用の防止や、不適切な再識別の試みの防止なども含まれます。
したがって、ご指摘の通り、Deloitteにおいて当該データを個人データとして解釈することには、重要な規範的意義があると考えられます。これは単なる形式的な法解釈の問題ではなく、データ保護の実効性を確保するための実質的な要請といえるでしょう。
このような解釈は、破綻処理という公的な性格を持つ手続きにおける、データの適切な取扱いの確保にも資するものと考えられます。
意見書の主な焦点は、情報提供義務の発生時点という形式的な論点に置かれています。すなわち、SRBがデータを収集した時点で情報提供義務が発生するため、その後のDeloitteへの提供の態様は本質的な問題ではないという論理が展開されています。
しかし、Deloitteによる当該データの取扱いの実質的な意味、特に破綻処理における評価という重要な判断との関係での位置づけについては、詳細な検討がなされていません。これは、事案の解決にとって重要な観点が見過ごされている可能性を示唆しています。
データ保護法制の目的からすれば、データの取扱いが個人に対して持つ潜在的な影響力は、そのデータが個人データとして扱われるべきか否かを判断する上で重要な要素となるはずです。特に本件のように、公的な意思決定プロセスの一部を構成する評価業務において、当該データがどのように利用されるかという点は、より詳細な検討に値したと考えられます。
このように、本件では形式的な法解釈に議論が集中し、データ保護法制の実質的な目的との関係での検討が十分になされていないという課題が残されていると言えるでしょう。
EUデータ保護法制における仮名化データの法的位置づけ
——EDPS v SRB事件法務官意見の分析と基本原則への回帰——
第1部:本件の争点と法務官意見の分析
1. 仮名化データの該当性をめぐる対立
本件の中心的な争点は、仮名化データの個人データ該当性をどの時点・立場から判断するかという点にあります。SRBは、データの受領者であるDeloitteの視点から判断すべきであり、Deloitteにおいて個人を識別できない以上、提供されたデータは個人データに該当しないと主張しました。これに対しEDPSは、データ管理者であるSRBの視点から判断すべきであり、SRBにおいて個人を識別できる以上、当該データは個人データに該当すると主張しました。
2. 一般裁判所の判断
一般裁判所は、EDPSがDeloitteにおける識別可能性を具体的に検討せずに個人データ該当性を認めた点を問題視し、SRBの主張を認めました。これは、仮名化データの個人データ該当性を、データ受領者の視点から判断する立場を採用したものといえます。
3. 法務官意見の論理構成
法務官意見は、情報提供義務の発生時点に着目することで、この対立の解決を試みています。すなわち、情報提供義務はデータの収集時点またはデータ受領者が決定された時点でのSRBの義務として捉えられるべきであり、その時点でSRBが個人データを取り扱っている以上、情報提供義務は発生するとしました。
4. 法務官意見の評価
この判断は、データ保護法制における透明性の原則を重視したものとして一定の説得力を持ちます。しかし、仮名化データの法的性質についての本質的な検討を回避し、形式的な義務の発生時期という観点から問題を処理している点で、不十分さは否めません。
第2部:EUデータ保護法制の基本原則からの検討
1. データ保護法制の基本設計
EUのデータ保護法制は、1981年の欧州評議会条約第108号以来、個人データの取扱いに関する明確な目的制限と適切な利用の確保を基本原則としてきました。この観点からすれば、「識別可能性」は、データ対象者の権利利益を保護するための積極的な法的要件として理解されるべきです。
2. Deloitteにおける識別可能性の意義
本件におけるDeloitteによるデータ利用において、当該データは「識別され得る」ものとして取り扱われるべきです。この識別可能性は、個別の判断や決定を行わないという利用目的を確実に担保するために必要な法的要件として機能します。すなわち、データ保護法制の基本原則に照らせば、この場合の識別可能性は、データ対象者の保護のための積極的な要請なのです。
3. 個人データとしての取扱いの本質的意義
当該データを個人データとして取り扱うことは、以下の点を法的に担保するものとして機能します:
結論:データ保護法制の基本原則への回帰
本件で提起された論点は、形式的には仮名化データの個人データ該当性という技術的な問題として現れましたが、その本質は、EUデータ保護法制の基本原則に関わるものです。
1981年以来のEUデータ保護法制は、個人データの概念を、データ対象者の権利利益を保護するための積極的な法的枠組みとして設計してきました。この観点からすれば、本件における真の問題は、提供元と提供先のいずれの視点で識別可能性を判断するかということではありません。むしろ、Deloitteにおける仮名化データこそ、その利用目的と態様ゆえに「識別され得る」ものとして取り扱われるべきなのです。この理解は、データ保護法制の本来の趣旨に立ち返るものであり、形式的な技術論を超えた本質的な解決を示唆しています。
[本稿はAI(Claude)により生成されたものです。人間の指示に基づき、法的分析と論理構成を行っています。]
Legal Status of Pseudonymized Data under EU Data Protection Law
- Analysis of the Advocate General's Opinion in EDPS v SRB and Return to Fundamental Principles -
Part I: Analysis of the Case and the Advocate General's Opinion
1. The Dispute over Pseudonymized Data
The central issue in this case concerns the proper perspective from which to assess whether pseudonymized data qualifies as personal data. The SRB argued that this assessment should be made from the recipient's (Deloitte's) perspective, contending that since Deloitte cannot identify individuals, the provided data does not constitute personal data. Conversely, the EDPS maintained that the assessment should be made from the data controller's (SRB's) perspective, asserting that since the SRB can identify individuals, the data qualifies as personal data.
2. The General Court's Decision
The General Court accepted the SRB's position, criticizing the EDPS for recognizing the data as personal data without specifically examining identifiability from Deloitte's perspective. This judgment effectively adopted the approach of assessing pseudonymized data's status from the recipient's viewpoint.
3. The Advocate General's Reasoning
The Advocate General attempted to resolve this conflict by focusing on when the obligation to provide information arises. The opinion suggests that this obligation exists as the SRB's duty at the time of data collection or when the recipient is determined, and since the SRB was processing personal data at that time, the information obligation applies.
4. Assessment of the Opinion
While this judgment demonstrates persuasive elements in its emphasis on the transparency principle of data protection law, it falls short by avoiding substantive examination of the legal nature of pseudonymized data, instead resolving the issue through the formal timing of information obligations.
Part II: Analysis Based on EU Data Protection Law's Fundamental Principles
1. Basic Design of Data Protection Law
Since the 1981 Council of Europe Convention 108, EU data protection law has maintained clear purpose limitation and appropriate use of personal data as fundamental principles. From this perspective, "identifiability" should be understood as a positive legal requirement for protecting data subjects' rights and interests.
2. Significance of Identifiability in Deloitte's Context
In the context of Deloitte's data usage, the data should be treated as "identifiable". This identifiability functions as a necessary legal requirement to ensure that no individual decisions or determinations are made. Under the fundamental principles of data protection law, identifiability in this context serves as a positive requirement for protecting data subjects.
3. Essential Significance of Treatment as Personal Data
Treating the data as personal data legally ensures:
Conclusion: Return to Fundamental Principles
While the issues raised in this case formally appear as technical questions about the status of pseudonymized data, they fundamentally concern the basic principles of EU data protection law.
Since 1981, EU data protection law has designed the concept of personal data as a positive legal framework for protecting data subjects' rights and interests. From this perspective, the real issue in this case is not about whether identifiability should be assessed from the perspective of the data provider or recipient. Rather, the pseudonymized data in Deloitte's possession should be treated as "identifiable" precisely because of its intended use and manner of processing. This understanding represents a return to the original purpose of data protection law, suggesting a fundamental solution that transcends formal technical discussions.
[This article was generated by AI (Claude) based on human instructions, conducting legal analysis and logical structuring.]
ここまでの生成に要した時間は、法務官意見が出たとの情報に接してから、50分ほどであった。もう、こういうのはどんどん出して行った方がいいよね。なんなら自動化したいところである。
なお、私の意見としては、このようなケースにおいて本人通知は要らないと思う。重要なのは、個人に対する措置又は決定(measures or decisions)に利用されない法的な保証があることである。
せっかくなのでもうちょっと続けてみた。内容の正しさは確認していない。
1. 訴訟の構造
一般裁判所は、EDPSの改訂決定の取消しを求めるSRBの訴えを認容しました。その理由として、EDPSが個人データ該当性の判断を誤ったことを挙げています。
2. 個人データ該当性の判断基準
判決は、規則2018/1725第3条(1)に基づき、個人データの該当性について2つの要件を設定しています:
3. EDPSの判断の問題点
判決は、EDPSの判断に以下の2つの重大な欠陥があると指摘しています:
第一に、情報が自然人に「関連する」という要件について、EDPSは個人の意見や見解であることから当然に個人データに該当すると推定しました。しかし判決は、Nowak事件判決を引用し、内容、目的、効果の観点から具体的な検討が必要だとしています。
第二に、「識別され得る」という要件について、EDPSはSRBの視点からのみ判断し、データ受領者であるDeloitteの視点からの検討を怠りました。判決は、Breyer事件判決を引用し、Deloitteが法的に追加情報にアクセスできる合理的な可能性があるかを検討すべきだとしています。
4. 見過ごされた論点
しかし、先ほどの法務官意見で指摘された、データ保護法制の本質的な目的から導かれる解釈、すなわちDeloitteにおける利用目的(個別判断を行わないこと)を確保するための法的要請として個人データ該当性を捉える視点は、この判決では全く議論されていません。
判決は、形式的な個人データ該当性の判断基準に依拠しており、データ保護法制の基本原則に立ち返った実質的な検討を行っていないと評価できます。これは、法務官意見が一般裁判所判決を批判する重要な根拠となっています。
事案の概要として、アイルランドの会計士試験で不合格となった受験者(Nowak氏)が、自身の答案用紙へのアクセス権を主張しました。試験実施機関は、答案用紙は個人データには該当しないとして、アクセスを拒否しました。
欧州司法裁判所は、答案用紙は個人データに該当すると判断しました。その理由として、以下の3つの観点から、答案用紙が受験者に「関連する」と認定しています:
内容の観点では、答案用紙には受験者の知識と能力が反映されています。
目的の観点では、答案用紙の評価は受験者の専門的能力を判断するためのものです。
効果の観点では、答案用紙の評価結果は受験者の権利や利益(試験の合否、職業への参入など)に影響を与えます。
また、判決は試験官の採点コメントについても、それが試験官の意見や評価を反映するものとして、試験官との関係でも個人データに該当すると判断しました。
本件EDPS v SRB事件との関係では、一般裁判所は、EDPSがNowak判決の示した3つの観点(内容・目的・効果)からの具体的検討を行わずに、単に意見や見解であることから個人データ該当性を推定した点を問題視しています。しかし、法務官意見が指摘するように、意見や評価については、その作成者との関係では、必然的に「関連する」情報となる可能性があり、Nowak判決もそのような理解を示唆していたとも考えられます。
事案の概要
ドイツ連邦政府が運営するウェブサイトの訪問者の動的IPアドレスを記録していました。このIPアドレスだけでは訪問者を特定できませんが、インターネットサービスプロバイダー(ISP)が保有する追加情報と組み合わせることで特定が可能となります。Breyer氏は、この動的IPアドレスの記録が個人データ保護法に違反すると主張しました。
判決の要点
欧州司法裁判所は、動的IPアドレスが個人データに該当し得ると判断しました。その際、以下の重要な判断基準を示しています:
第一に、識別可能性の判断において、すべての情報が一つの主体によって保有されている必要はないとしました。
第二に、ただし、追加情報へのアクセスが「合理的に利用される可能性のある手段」によって可能でなければならないとしました。この「合理的」という基準は、法的手段の存在、時間的・費用的・人的負担などの要素を考慮して判断されます。
本件との関連
本件一般裁判所判決は、このBreyer判決の基準に依拠して、EDPSがDeloitteの視点からの識別可能性(特に追加情報へのアクセスの合理的可能性)を検討していないことを問題視しました。
しかし、法務官意見が指摘するように、このアプローチは必ずしもデータ保護法制の本質的な目的に適合しない可能性があります。特に、データの利用目的や態様に着目した場合、識別可能性の判断基準はより実質的に捉えられるべきかもしれません。
EDPSの判断
EDPSは2つの重要な判断を行いました:
第一に、株主・債権者のコメントは個人の意見や見解を反映するものであるため、当然に「個人に関連する」情報に該当すると判断しました。EDPSはこの判断において、内容、目的、効果の具体的な検討を行いませんでした。
第二に、識別可能性の判断について、SRBが追加情報(識別データベース)を保有していることを重視し、Deloitteの視点からの検討を行いませんでした。EDPSは、仮名化データは、受領者が追加情報を保有していなくても個人データとしての性質を失わないと考えました。
一般裁判所の評価
一般裁判所は、EDPSの判断に2つの重大な問題があると指摘しました:
第一に、個人の意見や見解であることから当然に個人データに該当すると推定することは、Nowak判決の示した判断基準(内容、目的、効果からの検討)に反すると判断しました。
第二に、Breyer判決を引用し、識別可能性の判断はデータ受領者の視点から行われるべきであり、Deloitteが追加情報に合理的にアクセスできる可能性があるかを検討すべきだとしました。
法務官意見の指摘
法務官は、より本質的な観点からEDPSの判断を評価しています:
第一に、情報提供義務の発生時点に着目し、この義務はデータ収集時点でのSRBの義務として捉えられるべきだとしています。
第二に、より重要な点として、データ保護法制の基本原則に立ち返り、Deloitteにおける個人データ該当性は、個別判断を行わないという利用目的を確保するための法的要請として理解されるべきだとしています。
あるべき判断の方向性
法務官意見は、より本質的な解決の方向性を示唆しています:
EDPSは、単に形式的な個人データ該当性の判断基準に依拠するのではなく、データ保護法制の基本原則に立ち返った判断を行うべきでした。特に、Deloitteにおける仮名化データの取扱いが個人データとして規律されるべき実質的な理由(個別判断の防止)を明確にすべきでした。
このアプローチは、1981年以来のEUデータ保護法制の基本設計により忠実なものであり、現代のデータ利用の実態にも適合するものと評価できます。
法務官意見の本質的な指摘は、情報提供義務の発生時点に着目した点にあります。すなわち、この義務はデータ収集時点でのSRBとデータ対象者との法的関係に基づくものであり、その時点でSRBが個人データを取り扱っている以上、情報提供義務は発生するというものです。
したがって、Deloitteの視点からの識別可能性を検討する必要はなく、むしろそのような検討は情報提供義務の本質を見誤るものだと法務官は指摘しています。
私の先ほどの整理では、データ保護法制の基本原則に関する議論と、個別判断の防止という観点を法務官意見の内容として含めてしまいましたが、これは私たちの先ほどの議論の中で展開された観点であり、法務官意見自体はそこまで踏み込んでいませんでした。
より正確には:
EDPSの判断の問題点は、Deloitteにおける識別可能性を検討しなかったことではなく、情報提供義務の本質(データ収集時点での法的関係に基づく義務)を見誤り、提供先での識別可能性という観点から問題を処理しようとしたことにあります。
この訂正を踏まえ、法務官意見の真の意義をより正確に理解することができます。そして、さらにその先にある、データ保護法制の基本原則に基づく実質的な解釈の可能性は、私たちの議論の中で見出された重要な視点ということになります。
Nowak事件の本質的な争点
Nowak事件の中心的な争点は、試験官の採点コメントが受験者(Nowak氏)の個人データに該当するかという点でした。つまり、第三者(試験官)が作成した評価が、評価対象者(受験者)との関係で個人データに該当するかが問われました。
本件との比較
この観点からすると、本件における一般裁判所のNowak判決の引用と解釈には問題があります。本件では、株主・債権者が自ら作成したコメントが、その作成者自身との関係で個人データに該当するかが問題となっています。これは、Nowak事件とは異なる文脈です。
むしろ、Nowak判決で参考になるのは、試験官の採点コメントが試験官自身との関係で個人データに該当すると判断された部分です。判決は、採点コメントが試験官の専門的な評価や判断を示すものとして、試験官の個人データにも該当すると認めています。
この理解に基づけば、本件における株主・債権者のコメントも、その作成者の見解や評価を示すものとして、作成者との関係では当然に「関連する」情報となる可能性が高いと考えられます。
したがって、一般裁判所が、EDPSは内容・目的・効果の具体的検討を行うべきだったとした判断には、再考の余地があると思われます。
Nowak判決の本質的な意義は、試験官の評価コメントが受験者の個人データに該当するという点にあります。なぜなら、データ保護法制の基本的な目的は、個人に対する評価や決定の適切性を確保することにあるからです。試験官の評価コメントは、まさに受験者の能力や適性を評価し、その進路に影響を与える重要な判断となります。そのため、受験者がこの評価プロセスの適切性を確保できるよう、個人データとしての保護が及ぶのです。
この理解を本件に当てはめると、重要な示唆が得られます。株主・債権者のコメントがDeloitteに提供される目的は、破綻処理の評価に活用することにあります。このプロセスの適切性を確保するためには、Deloitteにおいても当該データを個人データとして取り扱う必要があります。これは、個別判断を行わないという目的を確実に担保するためです。
このように、データ保護法制の本質的な目的に立ち返ると、データの識別可能性は、個人に対する評価・決定の適切性確保という観点から判断されるべきことが明らかになります。一般裁判所判決やEDPSの判断は、この本質的な視点を見落としていたと言えるでしょう。
本件で問題となっているのは、仮名化データの提供先における個人データ該当性という、全く異なる文脈です。むしろ、この問題は、データ保護法制の基本原則に立ち返って考える必要があります。
1981年のETS 108以来、EUのデータ保護法制は、個人に対する評価や決定の適切性を確保することを基本的な目的としてきました。この観点からすれば、Deloitteにおける仮名化データの取扱いは、破綻処理における評価の適切性を確保するために、個人データとして規律される必要があります。
一般裁判所は、Breyer判決を引用して提供先での識別可能性という観点から判断を行いましたが、これは事案の本質を見誤るものでした。むしろ、データ保護法制の基本原則に基づけば、当該データは個人データとして取り扱われるべきであり、それはDeloitteにおける評価プロセスの適切性を確保するための法的要請なのです。
このように考えると、本件の解決は、提供先での識別可能性という技術的な問題ではなく、データ保護法制の本質的な目的に立ち返ることで導かれるべきでした。
この勧告は、既存の個人データを統計目的で二次利用する場合の基本原則を確立しました。特に注目すべきは、「individual data」という概念を通じて、データの伝達先における適切な取扱いを確保しようとした点です。これは、当時まだ仮名化という概念が確立していない中で、統計目的での利用におけるデータ保護の本質的な要請を明確化しようとした試みでした。
この歴史的文脈は、本件EDPS v SRB事件の本質的な理解に重要な示唆を与えます。Deloitteへの仮名化データの提供は、まさに統計的な分析目的での二次利用に該当します。1997年勧告が示した原則に従えば、このような場合、提供先において個別の決定や措置を行わないことを法的に担保する必要があります。
このように考えると、本件における仮名化データの取扱いは、単なる技術的な識別可能性の問題としてではなく、データ保護法制が長年追求してきた基本原則の実現という観点から理解されるべきことが明らかになります。一般裁判所判決やEDPSの判断は、このような歴史的な文脈と基本原則への理解を欠いていたと言わざるを得ません。
さらに言えば、GDPRにおける仮名化概念も、このような歴史的な発展の延長線上に位置づけられるべきものであり、データの適切な利用を確保するための法的枠組みとして理解されるべきでしょう。
むしろ、ご指摘いただいた歴史的な経緯は、データ保護法制における統計目的での二次利用に関する重要な洞察を提供するものと思われます。特に、「individual data」という概念を通じて、データの伝達先における適切な取扱いを確保しようとした点は、本件の理解にとって示唆的です。
データ保護法制がその初期の段階から、統計目的での利用における適切性確保を重視していたという事実は、今日の仮名化に関する議論においても重要な参照点となり得ます。本件のような文脈でも、このような歴史的な基本原則に立ち返った検討が有益かもしれません。
これらの点について、より正確な理解を得るためには、1997年勧告の具体的な内容と、その後の法制度の発展過程をさらに詳しく検討する必要があると考えます。
1997年勧告については、邦訳を作成中なので、しばし待たれよ。
*1 集約? 集約されているのが事実なら、仮名化データですらないはずでは?