Skip to main content

個人データの構成(GDPR)とは?

GDPRは、EU市民や居住者の個人データを保護することを中心に構築されています。この意味を理解することで、貴社はGDPRの要件を把握することができます。 実際、GDPRは個人データにのみ適用されます。 しかし、個人データとは具体的に何でしょうか?そのカテゴリの広さに驚くかもしれません!この記事では、どのデータがGDPRの規制に該当するかを判断し、できれば有用な情報を不必要に削除することを止められるようにお手伝いします。

また、個人データと機微(センシティブ)個人データの違いについて説明します。これはGDPRにおける重要な違いであり、個人データの収集、保存、処理の方法に影響を及ぼします。

個人データとは何か?

残念ながら、GDPRには、個人データとみなすものの包括的なリストはありません。規則では、個人データとは - 「識別可能な自然人に関するあらゆる情報」であると述べています。

一般人にとって、これは、生きているデータ対象者を特定するために、単独で、または他の情報と組み合わせて使用できるあらゆる情報を意味します。個人情報には、氏名やユーザー名などの明白なものもあれば、CCTV映像のようなあまり明白でないものもあります。

なぜなら、そのようなデータは、あなたがどこかに物理的に存在することを確認するために使用することができるからです。また、電話の位置情報、IPアドレス、Cookieデータ、電子メールや自宅の住所も含まれます。

ただし、これらのもの単体では、必ずしもGDPRの規制で定義される個人データにはならないということを覚えておくことが重要です - すべて特定の状況によって異なります。

状況とはどのようなものでしょうか。

例えば、ある人の名前を考えてみましょう。

米国には48,532人のジョン・スミスがいるため、この名前だけでは特定の個人を識別することはできません(米国国勢調査局)。 それに比べて、イーロン・マスクの息子は、X → A-12 Muskという地球上で唯一の人間だと言ってもいいでしょう(今のところ)。

したがって、この情報だけで個人を特定できるため、GDPRが彼の名前を個人情報とみなすのは当然です。 しかし、ファイルにある他の情報と組み合わせると、この点は変わってきます。電子メールアドレス(johnsmith@businessx.com)は、この特定の会社で働いているジョン・スミスがただ一人であることを示すので、個人データとみなされるでしょう。

個人情報に該当しないものはあるのか?

ほとんどの場合、死者のデータはGDPRの個人データとはみなされません。 また、説明26には、匿名データはGDPRの規制の対象外であると書かれています。 匿名化とは、データから個人識別子をすべて削除するプロセスのことです。仮名化または暗号化されたデータと混同してはいけません。 仮名化されたデータは、データ対象者のセキュリティレベルを向上させるため、GDPRは個人データの仮名化を積極的に推奨しています。 仮名化されたデータは、権限を与えられた社員のみがアクセスできるため、企業にデータを提供した人のプライバシーリスクが軽減されるからです。

GDPRの機微(センシティブ)個人データとは?

機密性の高い個人データ( 第9条の公式用語では「特殊カテゴリーデータ」)は、GDPRによって、特別なセキュリティで扱わなければならないものとして強調されています。 ここでは、機密性の高い個人データの例をすべて紹介します。

  • 人種または民族的出身
  • 政治的意見
  • 宗教的または哲学的な信条
  • 労働組合への加盟
  • 犯罪歴
  • 機密情報
  • 遺伝子情報
  • 財務データ
  • バイオメトリクスデータ
  • 健康情報
  • 性生活または性的指向
  • 事業または業務に関する情報

この個人データとセンシティブ個人データの区別は重要です。 GDPRでは、センシティブデータは、以下の条件の1つ以上を満たす場合にのみ処理することができます。

  • 本人が明示的に同意している場合、またはすでにデータを公開している場合
  • 物理的に同意を提供できないデータ対象者の利益を保護するためにデータが必要な場合
  • 法律に基づく雇用、社会保障、社会保護の要件を満たすためにデータが不可欠な場合
  • 非営利団体が合法的な活動を行うためにデータを必要とする場合
  • 健康や医療に関する実質的な公益に関連する活動のために必要な場合

データの準備ができました

どのような個人情報や機密情報が保存されているか、把握できたでしょうか。 これは、データを特定・分類し、個人情報の保存方法がGDPRに基づくEUインターネットユーザーの権利を尊重するための第一歩です。 この機密情報のセキュリティを改善することは、不幸にもデータ侵害が発生した場合に、データ保護当局から貴社が受ける罰金を削減し、より安全に保護することにもなります。

GDPRとデータプライバシーについては、当社の包括的なガイドを参照してください。