個人データの定義における識別可能性(Breyer事件) - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

EUのデータ保護法であるGDPR(General Data Protection Regulation注1:一般データ保護規則)は、2018年5月25日に施行されてから、その高額な制裁金を背景にして、世界中の企業に影響を与えてきた。日本企業においてもそれは例外ではなく、グローバルにビジネスを展開する場合にはGDPRへの対応を迫られてきた。本連載の執筆時点において、GDPRの施行から4年半が経過しているが、GDPRの解釈・運用はさまざまな変遷を経ており、その対応に苦慮している企業も少なくないと思われる。
そのような揺れ動くGDPRの解釈・運用に惑わされず、そのルールの本質を理解するには、ガイドラインや当局の決定だけでなく、EUにおけるGDPRの判例法を理解することが重要である。本連載では、「知っておきたいGDPRの重要判例」と題し、GDPRの理解に資する重要な判例を紹介するものである。本連載は、単なる一つの事例を紹介するだけでなく、その解説の中でその判例の位置づけも説明して、読者がより幅広い知識を得られることを目指している。

連載初回の本稿は、GDPR施行前の事例ではあるが、ウェブサイト運営者にとって動的IPアドレスが個人データに該当するか否かについて欧州司法裁判所の判断が示されたBreyer事件判決(Case C 582/14)注2を解説する。この判決は個人データの定義における「識別可能性」の解釈の参考になると考えられるため、本稿では特にこの点に関する判示を取り上げる。

概要

Breyer事件における欧州司法裁判所判決の概要は、以下のとおりである。

Breyer事件 - 欧州司法裁判所判決

  • Breyer氏がドイツ政府のウェブサイトにアクセスしたときに取得された動的IPアドレスが個人データに該当するか否かが問題となった事案
  • 欧州司法裁判所は、ウェブサイト運営者がインターネットサービスプロバイダーから追加の情報を得てデータ主体を特定することができる法的手段がある場合には、当該ウェブサイト運営者にとって動的IPアドレスは個人データに該当すると判断

事案

「IPアドレス」とは、「Internet Protocol Address」の略称であり、コンピューター、タブレット、スマートフォン等の機器に割り当てられて、当該機器を識別し、インターネットにアクセスできるようになる番号列をいう。このような機器は、インターネットに接続するために、インターネットサービスプロバイダーから提供される当該番号列を使用する必要がある。
IPアドレスには、

・ 動的IPアドレス:インターネットに接続するたびに機器に一時的に割り当てられるもの

・ 固定IPアドレス:インターネットに接続された機器を継続的に識別できるもの

とがある。前者の「動的IPアドレス」は、インターネットサービスプロバイダーがデータ対象者の身元の情報とともに保存しているが、各ウェブサイトの運営者においても、

・ いつ

・ どのページに

・ どの動的IPアドレスからアクセスがあったか

を記録しておくことがある。
ドイツの公的機関のウェブサイトの多くは、攻撃防止や攻撃者の告発を目的として、そのアクセス情報をログファイルとして保存している。そのログファイルには、アクセス終了後も、

・ アクセスしたファイル

・ ウェブページの名前

・ 検索フィールドに入力した語句

・ アクセスした時間

・ 転送したデータ量

・ アクセスが成功したかどうか

・ アクセス元のコンピューターのIPアドレス

等の情報が残されている。

Breyer氏は、ドイツ政府が動的IPアドレスを保存しているとして、障害発生時に可用性を回復するために保存が必要な場合を除き、ドイツ政府がそのウェブサイトにアクセスしたユーザーのIPアドレスを保存したり、第三者に保存させたりすることの禁止命令を求める訴訟を提起した。
当該訴訟は、第一審および控訴審を経て、ドイツ連邦裁判所(Bundesgerichtshof)で審理されることになったところ、同裁判所は、欧州司法裁判所に対して、ウェブサイト運営者にとって動的IPアドレスは個人データに該当するか否かなどの点を照会し、先決判決(preliminary ruling)を付託した。

判決要旨

Breyer事件の欧州司法裁判所の判断は、大要、以下のようなものであった。

*     *

データ保護指令2条(a)号によれば、「個人データ」とは、「識別されたまたは識別可能な自然人(an identified or identifiable natural person)に関するあらゆる情報を意味する」とされている(判決文32項。以下、単に項数のみを表記する)。
まず、動的IPアドレスは、ウェブサイトがアクセスされたコンピューターを所有する自然人や、そのコンピューターを使用する可能性のある他の人の身元を直接明らかにしないため、「識別された自然人(identified natural person)」に関する情報にはならないことが一般的である(38項)。一方、データ対象者の識別に必要な追加データをインターネットサービスプロバイダーが保持している場合、ウェブサイト運営者にとって動的IPアドレスが「識別可能な自然人(identifiable natural person)」に関する情報となり、個人データとして扱うことができる可能性があるため、本件ではこの点を検討する必要がある(39項)。

データ保護指令の前文26項は、個人を識別可能かどうか判断するには、管理者またはその他の主体が当該個人を特定するために合理的に使用する可能性のあるすべての手段を考慮すべきであると述べている(42項)。そのため、動的IPアドレスとインターネットサービスプロバイダーが保有する追加データとの組み合わせを検討する場合、その手段がウェブサイト運営者にとってデータ対象者を識別するために合理的に使用される可能性が高い手段に該当するか否かが問題となる(45項)。この点、データ対象者の識別が法律で禁止されている場合、または識別のリスクが実際には軽微であるため、時間、コスト、人手の点で不釣り合いな努力を必要とするという理由でデータ対象者の識別が実質的に不可能な場合には、上記の手段は、データ対象者を識別するために合理的に使用される可能性が高い手段には該当しないと考えられる(46項)。

ドイツの法律では、インターネットサービスプロバイダーがデータ対象者の識別に必要な追加データをウェブサイト運営者に直接送信することを認めていないとされているが、特にサイバー攻撃の場合、ウェブサイト運営者が管轄当局に連絡することができるための法的手段が存在しており、それによって管轄当局はインターネットサービスプロバイダーから情報を入手して刑事手続を進めるのに必要な措置を講じることができる(47項)(筆者注:このように、ドイツにおいて、動的IPアドレスとデータ対象者の識別に必要な追加データを組み合わせることは、管轄当局とインターネットサービスプロバイダーの協力によって可能であるため、その手段は、上記で述べたデータ対象者の識別が法律で禁止されている場合」または「識別のリスクが実際には軽微であるため、時間、コスト、人手の点で不釣り合いな努力を必要とするという理由でデータ対象者の識別が実質的に不可能な場合」のいずれにも該当しないと考えられる)。したがって、ドイツのウェブサイト運営者は、保存されているIPアドレスに基づき、他の者、すなわち管轄当局とインターネットサービスプロバイダーの協力を得て、データ対象者を識別するために合理的に使用する可能性のある手段を有していると思われる(48項)。

以上より、動的IPアドレスは、ウェブサイト運営者との関係では、(筆者注:ドイツのように)インターネットサービスプロバイダーが有する追加データでデータ対象者を識別できる法的手段を有する場合に、個人データに該当すると解釈しなければならない(49項)。

解説

本判決の意義

この判決(以下、「本判決」という)は、個人データの定義における「識別可能性」の解釈を示したものである。GDPRの旧法であるデータ保護指令注3では、

「個人データ」とは、識別されたまたは識別可能な自然人(データ対象者)に関するあらゆる情報を意味する。識別可能な人とは、特に識別番号または身体的、生理的、精神的、経済的、文化的もしくは社会的アイデンティティを示す一つ以上の要素を参照して、直接的又は間接的に識別できる人のことである。

(データ保護指令2条(a)号)

と定められており、また、個人を識別できるかどうかを判断するためには、管理者またはその他の人物が当該個人を識別するために合理的に使用する可能性のあるすべての手段を考慮する必要があるとされていた(データ保護指令前文26項)。本判決は、これらの条項を踏まえ、

・ データ対象者の識別が法律で禁止されている場合

・ 実質的に不可能な場合である場合

には、個人を識別するために合理的に使用する可能性のある手段には該当しないと述べた。その上で、ドイツのウェブサイト運営者は、管轄当局とインターネットサービスプロバイダーの協力を得ることができるため、上記のいずれの場合にも該当せず、データ対象者を識別するために合理的に使用する可能性のある手段があると言え、本件において動的IPアドレスは個人データに該当すると判断したのである。

本判決は、ウェブサイト運営者との関係で動的IPアドレスがデータ保護指令2条(a)号の個人データに該当するか否かについて、初めて欧州司法裁判所が判断を示したものである。本判決以前は、Scarlet Extended事件(Case C 70/10)において、欧州司法裁判所はインターネットサービスプロバイダーとの関係でIPアドレスが個人データに該当すると判断していた注4。本判決の意義は、データ対象者の身元の情報を別途保有するインターネットサービスプロバイダーとの関係だけではなく、そのような情報を保有しないウェブサイト運営者との関係でもIPアドレスが個人データに該当すると判断されたという点にある。

客観的・絶対的な基準と主観的・相対的な基準

本判決が解釈を示した点は、個人データの識別可能性を考えるにあたって、

・ 客観的または絶対的な基準を用いるか

・ 主観的または相対的な基準を用いるか

という論点に関連している。Breyer事件の法務官意見によれば、当時のドイツの判例・学説では、この点は激しい議論の対象となっており、それぞれの意見が二分されていたようである注5。欧州司法裁判所が引用するドイツ連邦裁判所(Bundesgerichtshof)の法的整理によれば、客観的な基準を用いた場合、第三者だけがデータ対象者の身元を特定できる状況であっても、ある情報は別の主体にとっても識別可能となりうるが、相対的な基準を用いた場合、ある情報が識別可能となるかは、当該情報を処理する主体が不釣り合いな努力をすることなく識別可能かという観点から個別具体的に判断することになる注6。本判決について、学説上は、客観的または絶対的な基準を用いたものと評価する見解注7と、主観的または相対的な基準を用いたものと評価する見解注8があるが、本判決がドイツの法制度を踏まえてウェブサイト運営者の立場から動的IPアドレスの識別可能性を判断していることを考えると、本判決は主観的または相対的な基準に親和的だと思われる。

29条データ保護作業部会の解釈との関係

本判決以前において、データ保護指令に基づくEUの諮問機関である29条データ保護作業部会(Article 29 Data Protection Working Party)は、インターネットサービスプロバイダーとウェブサイト運営者にとって動的IPアドレスが識別可能な個人に関するデータとなりうるとしていた注9。具体的には、IPアドレスの処理がユーザーを識別する目的で行われる場合(例:知的財産権侵害を訴える場合)には、裁判所等を通じてユーザーを識別するための合理的な手段が利用可能となるが、そのような目的がない場合(例:インターネットカフェのコンピューターを識別するのみの場合)には、合理的な手段でユーザーを識別することができないと述べていた注10。このような29条データ保護作業部会の立場は、動的IPアドレスが個人データに該当する場合をやや制限的に解釈してはいるものの、動的IPアドレスの識別可能性をケースバイケースで検討しているという点では本判決の方向性と基本的に一致している。
一方で、29条データ保護作業部会は、個人データの識別可能性については自然人がある集団の中でその集団の他のすべての構成員と「区別される(distinguished)」場合に、「識別される(identified)」と考えることができると述べていた。この解釈を前提とすると、動的IPアドレスによってウェブサイトの訪問者は別の訪問者と「区別される(distinguished)」ため、動的IPアドレスそれ自体で自然人は「識別される(identified)」ことになると考えられる。

しかし、欧州司法裁判所は、上記のとおり、動的IPアドレスそれ自体では識別可能性の基準を満たすのに十分ではなく、インターネットサービスプロバイダーの保有する追加データとの組み合わせによって識別可能性を満たしうると判示しており、29条データ保護作業部会の解釈と整合しないようにも思われる。この点について、学説上は、29条データ保護作業部会は「人」が区別されることを基準としているが、IPアドレスそれ自体は「人」を区別しておらず、背後に「人」が存在しているかも示すものではないという見解注11や、Breyer事件ではウェブサイトの閲覧後の動的IPアドレスについて判断されたものであって、閲覧セッション中の動的IPアドレスの識別可能性を否定するものではないという見解注12がある。

GDPRとの関係

現行法であるGDPRでは、

「個人データ」とは、識別された自然人または識別可能な自然人(データ対象者)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、または、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つまたは複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。

(GDPR4条(1)号)

と定められている。また、ある自然人が識別可能であるかどうかを判断するためには、選別のような、自然人を直接または間接に識別するために管理者またはそれ以外の者によって用いられる合理的な可能性のあるすべての手段を考慮に入れなければならないとされている(GDPR前文26項)。このように、GDPRの個人データの定義と前文の文言は、データ保護指令のものとほぼ同じものであり、Breyer事件の判示は、GDPRにおいても妥当すると考えられる。

もっとも、GDPRでは、個人データの定義の中で「オンライン識別子」が識別子の例として追加されており、オンライン識別子にはIPアドレスが含まれるとされている(GDPR前文30項)。このような違いから、学説上は、GDPRは、IPアドレスを一般的に個人データに当たるとみなすための別の論拠を提供しているという指摘注13もされている。

→この連載を「まとめて読む」

[注]
  1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) []
  2. Case C-582/14, Patrick Breyer v. Bundesrepublik Deutschland, ECLI:EU:C:2016:779[]
  3. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data[]
  4. Case C 70/10, Scarlet Extended SA v Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), ECLI:EU:C:2011:771, para 51[]
  5. Case C-582/14, Patrick Breyer v. Bundesrepublik Deutschland, ECLI:EU:C:2016:339 (Opinion of Advocate General Campos Sánchez-Bordona), para 52[]
  6. Patrick Breyer (Case C-582/14), op. cit., para 25[]
  7. Frederik Zuiderveen Borgesius, ‘Breyer Case of the Court of Justice of the European Union: IP Addresses and the Personal Data Definition (Case Note)’ (2017) European Data Protection Law Review 2017, Volume 3, Issue 1, page 135, Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2933781[]
  8. Alan Stewart Reid, ‘The European Court of Justice case of Breyer’ (2017) Journal of Information Rights, Policy and Practice, 2(1), page 4. DOI: https://jirpp.winchesteruniversitypress.org/articles/abstract/10.21039/irpandp.v2i1.32/[]
  9. Article 29 Data Protection Working Party, Working Document Privacy on the Internet - An integrated EU Approach to On-line Data Protection - (WP29 2000), page 21[]
  10. Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data (WP29 2007), pages 16 and 17[]
  11. Peter Davis, ‘Facial Detection and Smart Billboards: Analysing the ‘Identified’ Criterion of Personal Data in the GDPR’ (2020) University of Oslo Faculty of Law Research Paper No. 2020-01, page 18, Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3523109[]
  12. Nadezhda Purtova, ‘From knowing by name to targeting: the meaning of identification under the GDPR’ (2022) International Data Privacy Law, Volume 12, Issue 3, August 2022, Pages 179, Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3849943[]
  13. Borgesius (2017), op. cit., page 137[]

野呂 悠登

TMI総合法律事務所 弁護士

2011年東北大学法学部卒業、2013年東京大学法科大学院修了、2014年弁護士登録。2017~2018年個人情報保護委員会事務局参事官補佐。2021年キングス・カレッジ・ロンドン修了(知財・情報法LLM)、2022~2023年Simmons & Simmons法律事務所のロンドンオフィス出向。国内外のデータ保護法に関する業務を主に取り扱う。

Twitter: 野呂悠登/Yuto Noro(@NoroYuto)
LinkedIn: Yuto Noro(https://www.linkedin.com/in/yuto-noro-793098158/)。