はじめに

この「知っておきたいGDPRの重要判例」（以下「本連載」という）は、EUのデータ保護法であるGDPR（General Data Protection Regulation^注1：一般データ保護規則）の理解に資する重要な判例を紹介する連載記事である。

本連載の第2回であるこの記事では、GDPR施行前の事例ではあるが、会計士試験の回答とそれに対する採点者のコメントが個人データに該当するか否かについて欧州司法裁判所の判断が示されたNowak事件判決（Case C-434/16）^注2を解説する。この判決は個人データの定義における「関連性」の解釈の参考になると考えられるため、本稿では特にこの点に関する判示を取り上げる。

概要

Nowak事件における欧州司法裁判所判決の概要は、以下のとおりである。

事案

Nowak氏は会計士の研修生で、アイルランド公認会計士協会（以下「CAI」という）が実施する会計士試験を受け、その中で受験者が書籍を利用することができる試験（オープンブック試験）に不合格となった。Nowak氏は、2009年秋に4度目の不合格となった後、2010年5月にアイルランドのデータ保護法に基づき、CAIが保有する自分に関するすべての個人データを求めるアクセスの請求を提出した。これに対し、CAIは同氏に17の文書を送ったが、試験の回答原稿の送付は、「データ保護法における個人データが含まれていない」という理由で拒否した。

その後、Nowak氏は、開示を拒否された理由に異議を唱えるため、アイルランドのデータ保護委員会に連絡し、2010年7月1日に同氏は同委員会に正式な苦情を提出することになった。これに対して、データ保護委員会は、Nowak氏に対し、「アイルランドのデータ保護法の実質的な違反は確認されず、根拠の乏しいまたは濫用的な苦情である」として、その苦情に対する調査は行わないことを伝えた。

Nowak氏は、この決定に対してアイルランドの巡回裁判所に訴訟を提起した。第一審および控訴審では、データ保護委員会が苦情の調査を開始していないため、法的手続をとることができる決定が存在しないことを理由に、このような訴訟は認められないとしたが、アイルランドの最高裁判所は、上告を認め、当該訴訟の提起は認められると判断した。しかし、当該最高裁判所は、試験の回答原稿が個人データに該当しうるかどうかが不明であるため、訴訟手続を停止し、それが個人データに該当するかなどを欧州司法裁判所に付託して先決判決（preliminary ruling）を得ることとした。

判決要旨

Nowak事件の欧州司法裁判所の判断は、大要、以下のようなものであった。

＊　　　　　＊

先決判決を付託した裁判所は、本質的に、本件のような状況において専門職試験で受験者が提出した書面による回答および当該回答に関する採点者のコメントが個人データを該当すると解釈されるべきかどうかを確認することを求めている（判決文27項。以下、単に項数のみを表記する）。

データ保護指令の2条（a）号では、個人データを「識別された、または識別可能な自然人に関連するあらゆる情報」と定義していることを想起しなければならない（28項）。専門職試験において受験者が提供した書面による回答および当該回答に関して採点者が行ったコメントが当該受験者に関連する情報を構成するかどうかを判断する必要がある（32項。下線部は筆者によるもの）。「個人データ」の定義における「あらゆる情報（any information）」という表現は、データ対象者に「関連する（relates）」ことを条件に、あらゆる情報を潜在的に包含するようにこの概念に広い範囲を割り当てるというEUの立法者の目的を反映している（34項）。後者（筆者注：関連性の要件）については、情報がその内容、目的または効果（content, purpose or effect）によって特定の人物と結びついている場合に満たされる（35項）。

専門職試験で受験者が提出する書面の回答は、受験者個人と結びついた情報を構成している（36項）。第一に、そのような回答の内容は、特定の分野における受験者の知識や能力の程度、場合によっては知性や思考回路、判断力などが反映される（37項）。手書き原稿の場合は、それに加えて、筆跡に関する情報も含まれる（37項）。第二に、そのような回答を得る目的は、受験者の職業上の能力とその職業に従事するための適性を評価することである（38項）。試験の目的は、特定の人物、すなわち受験者個人のパフォーマンスを判断して確定することであり、たとえば、代表的な調査のように、その人物から独立した情報を得ることではない（41項）。第三に、そのような情報の利用は、結果としてその試験において受験者の合格または不合格を生じさせるものであり、たとえば、志望する職業に就く機会または希望する役職に就く機会を決定または影響しうるという点で、受験者の権利および利益に影響を及ぼしうるものといえる（39項）。

受験者の回答に関する採点者のコメントについては、受験者が試験で提出した回答と同様に、受験者に関する情報に該当することは明らかである（42項）。これらのコメントの内容は、試験における受験者個人のパフォーマンス、特に、特定の分野における受験者の知識および能力に関する採点者の意見または評価を反映するものである（43項）。また、これらのコメントの目的は、まさに受験者のパフォーマンスに対する採点者の評価を記録することである（43項）。これらのコメントは、受験者に影響を及ぼす可能性がある（43項）。

また、個人情報として分類されるべきかどうかという問題は、データ保護委員会とアイルランド政府の主張とは異なり、その分類の結果、受験者がデータ保護指令に従ってアクセスおよび修正の権利を有するという事実によって影響を受けることはない（46項）。この点に関しては、まず、データ保護指令によって規定された多くの原則と保護措置がその分類に付随し、その分類から派生することを想起しなければならない（47項）。専門職試験で提出された受験生の答案や、答案に対する採点者のコメントに含まれる受験生に関する情報が「個人データ」に分類されないとすれば、個人データ保護の分野で遵守すべき原則や保護措置に従う義務から完全に除外されることになる（49項）。もちろん、データ保護指令の修正権は、受験者が「不正解」である回答を事後的に「修正」することを可能にするものではない（52項）。そのような誤りは、データ保護指令に基づく修正権を生じさせるような不正確さを表すものではない（53項）。

上記のすべてを考慮すると、付託された質問に対する回答は、データ保護指令2条（a）号は、本件の状況において、専門職試験で受験者が提出した書面による回答およびその回答に関して採点者が行ったコメントは、個人データに該当するという意味に解釈されなければならないということである（62項）。

解説

本判決の意義

この判決（以下、「本判決」という）は、個人データの定義における「関連性」の解釈を示したものである。

まず、本判決は、個人データの定義における関連性の要件は、情報がその内容、目的または効果によって特定の人物と結びついている場合に満たされるという判断基準を示した。GDPRの旧法であるデータ保護指令^注3では、「個人データ」とは、「識別されたまたは識別可能な自然人（データ対象者）に関連するあらゆる情報を意味する」と定められている（データ保護指令2条（a）号。下線は筆者）。本判決以前において、欧州司法裁判所は、関連性の判断基準を明確に示していなかったが、本判決では、情報の内容、目的または効果という三つの要素を参照したうえで、当該情報が特定の人物と結びついているか否かによって判断する旨を判示した。

また、本判決は、その判断基準を専門職試験で受験者が提出した回答およびそれに関する採点者のコメントを当てはめた場合、個人データの定義における関連性が認められることを示した。欧州司法裁判所は、YS事件^注4において、理由メモに記載されている在留許可の申請者に関連するデータは個人データに該当しうるが、理由メモ内の法的分析それ自体は関連性の要件を欠き、個人データに該当しないと判示していた。欧州司法裁判所が、YS事件において理由メモ内の法的分析については関連性を否定しているのに対して、本判決において受験者の回答に関する採点者のコメントについては関連性を肯定しているのは注目に値する。

さらに、本判決は、アクセス権および修正権の存在から逆算して、個人データへの分類を否定すべきと論じることを否定した。欧州司法裁判所は、YS事件において、滞在許可の申請者のアクセス権をその法的分析にまで拡大することはデータ保護指令の目的を果たすものではないとして、個人データの該当性を否定しており^注5、アクセス権の存在が個人データの該当性に影響することを示唆していた。本件においても、アイルランド政府は、データ保護指令上の修正権を用いて、受験生が誤った試験の解答の修正を求めることが懸念されることから、個人データの該当性を否定した^注6。しかし、本判決は、個人情報として分類されるべきかどうかという問題は、結果としてアクセスおよび修正の権利を有するという事実によって影響を受けることはないことを明確にしたのである。

29条データ保護作業部会の解釈との関係

本判決以前において、データ保護指令に基づくEUの諮問機関である29条データ保護作業部会（Article 29 Data Protection Working Party）は、データが個人に「関連する（relate）」と考えるためには、「内容（content）」の要素、「目的（purpose）」の要素、「結果（result）」の要素のいずれかが存在する必要があると指摘していた^注7。29条データ保護作業部会によれば、これらの要素は、以下のとおり解釈される^注8。

・ 　内容の要素：「内容」の要素は、データ管理者または第三者の目的や、その情報がデータ対象者に与える影響にかかわらず、「関連する」という言葉の社会における最も明白かつ一般的な理解に対応して、特定の個人に関する情報が与えられる場合に存在する。情報は、それが「その人について（about）」であるときに、その人に「関連する」ものであり、これは、ケースを取り巻くすべての状況に照らして評価されなければならない。

・ 　目的の要素：「目的」要素は、具体的なケースを取りまくすべての状況を考慮したうえで個人の地位や行動を評価し、一定の方法で処遇し、または影響を与えることを目的として、データが利用され、または利用される可能性がある場合に存在すると考えることができる。

・ 　結果の要素：「内容」や「目的」の要素がないにもかかわらず、具体的なケースを取りまくすべての状況を考慮すると、データの利用が特定の人の権利と利益に影響を与える可能性があるため、データは個人に「関連」していると考えることができる。注意すべきは、潜在的な結果が重大な影響である必要はないことである。データの処理の結果、個人が他の者と異なる扱いを受ける可能性があれば十分である。

本判決は、個人データの定義における関連性について、情報がその内容、目的または効果によって特定の人物と結びついている場合に満たされると述べており、29条データ保護作業部会の上記の解釈をほぼそのまま適用したものと理解することができる^注9。

欧州司法裁判所の先例との関係

本判決と欧州司法裁判所の先例との関係では、個人に関連する情報の範囲の解釈の違いに留意すべきである。欧州司法裁判所は、YS事件において、法的分析は、滞在許可の申請者に関連する情報ではなく、申請者の状況に対する法律の評価および適用に関連する情報に過ぎないと判示していた^注10。この判決は、個人に関連する情報について制限的に解釈され、情報が個人についての（about）ものである場合にのみ関連性が認められることを示唆していた^注11。これに対して、本判決は、このような「に関連する」の限定的な解釈を事実上覆し、内容、目的または効果を理由とする関連性を含むように解釈を拡大したと理解することができる^注12。仮に本判決で示された判断基準をYS事件に当てはめた場合、滞在許可の申請者に関連する法的分析が個人データに該当すると判断される可能性がある^注13。

また、本判決には、個人データの定義とデータ対象者の権利の関係についての従来の解釈との相違点が見られることも重要である。欧州司法裁判所は、YS事件において、滞在許可の申請者のアクセス権をその法的分析に拡大することはデータ保護指令の目的に適うものではないと述べ、理由メモ内の法的分析は個人データに該当しないとした^注14。これに対して、本判決は、そもそも個人情報としての分類は、その分類の結果、受験者がデータ保護指令に従ってアクセスおよび修正の権利を有するという事実によって影響を受けることはないという解釈を示している。そのうえで、受験者に回答やコメントへのアクセス権を与えることはデータ保護指令の目的に適うと述べ、その判決文56項において、YS事件の判決とは反対の見解であることを明示的に述べている。

本判決の影響

本判決は、旧法であるデータ保護指令についてのものであるが、データ保護指令2条（a）号とGDPR4条（1）号における個人データの定義は極めて類似した文言であるため^注15、本判決の判示は、GDPRにも妥当する考えられる。データ保護指令がGDPRに置き換えられたことによって、本判決から生じる法理の価値が低下することはない^注16。

本判決は、専門職試験の回答とそれに関する採点者のコメントが個人データに該当すると判断した。その結論に直接影響を受けるのは、教育サービス事業者や、特定の職業資格の認定を行う団体、公的機関であると指摘されている^注17。もっとも、本判決は、個人データの定義の従来の解釈を変更して、その関連性が認められる範囲を拡大しているため、特定の業界・業種に限られず、GDPRの解釈一般に大きな影響を及ぼしていると考えられる。

本判決では、個人データの範囲を拡大する解釈が示されたが、このような広範な個人データの概念が与える影響については批判的な見解がある。この見解は、GDPRの個人データの範囲があまりに広すぎるがゆえに、GDPRのシステムの過負荷を生み、将来的には意味のある形での規制が不可能となると述べている^注18。

一方、本判決の影響は限定的なものに留まると分析する見解もある。この見解は、本判決は、個人データの範囲を意見や分析にまで拡大したが、それらに対してはデータ対象者の権利を限定的にしか認めていないという点で、従前の解釈を踏襲しているに過ぎないと指摘している^注19。

→この連載を「まとめて読む」

1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)[↩]
2. Case C-434/16, Peter Nowak v Data Protection Commissioner, ECLI:EU:C:2017:994[↩]
3. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data[↩]
4. Joined Cases C‑141/12 and C‑372/12, YS v Minister voor Immigratie, Integratie en Asiel and Minister voor Immigratie, Integratie en Asiel v M and S, ECLI:EU:C:2014:2081, para 48[↩]
5. YS (C‑141/12 and C‑372/12), op. cit., para 46[↩]
6. Case C-434/16, Peter Nowak v Data Protection Commissioner, ECLI:EU:C:2017:582 (Opinion of Advocate General Kokott), para 31[↩]
7. Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data (WP 29, 2007), page 10[↩]
8. Ibid., pages 10 and 11[↩]
9. Nadezhda Purtova, ‘The law of everything. Broad concept of personal data and future of EU data protection law’ (2018) Law, Innovation and Technology, Volume 10, No. 1, page 70, Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3036355[↩]
10. YS (C‑141/12 and C‑372/12), op. cit., para 40[↩]
11. Purtova (2017), op. cit., page 28[↩]
12. Ibid.[↩]
13. Daniel Jove, ‘Peter Nowak v Data Protection Commissioner : Potential Aftermaths Regarding Subjective Annotations in Clinical Records’ (2019) European Data Protection Law Review, 2019, Vol.5, No. 2, pages 178 and 179, available at https://edpl.lexxion.eu/article/EDPL/2019/2/7?_locale=en[↩]
14. YS (C‑141/12 and C‑372/12), op. cit., paras 46 and 48[↩]
15. Karolina Podstawa, ‘Peter Nowak v Data Protection Commissioner: You Can Access Your Exam Script, Because It Is Personal Data’ (2018) European Data Protection Law Review, 4(2), pages 254 and 255, available at https://edpl.lexxion.eu/article/EDPL/2018/2/17[↩]
16. Jove (2019), op. cit., page 176[↩]
17. Podstawa (2018), op. cit., page 259[↩]
18. Purtova (2017), op. cit., pages 30 and 31[↩]
19. Sandra Wachter and Brent Mittelstadt, ‘A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI’ (2018), Columbia Business Law Review, Vol. 2019, No. 2: 494, pages 536 and 537, available at https://academiccommons.columbia.edu/doi/10.7916/d8-mvax-p446/download[↩]