GDPRが定義する「個人データ」と、注意すべき“グレーゾーン”とは：IPアドレスやSNSの投稿も対象に

EUの「一般データ保護規則」（GDPR）が定義する個人データの範囲は広い。個人を直接または間接的に識別可能な、さまざまな種類のデータが含まれる。

[Bridget Botelho，TechTarget]

　欧州連合（EU）の「一般データ保護規則」（GDPR）が2018年5月25日に施行される。「EU居住者であれば誰でも、自身の個人データが保護される権利を有する」ことを定めた規則だ。

　このGDPRは、企業が顧客の個人データを収集、保存、使用する方法を制限する。顧客は自身の個人データが収集されることを拒否できる。収集後のデータについての事実を確認したり、企業のデータベースからの個人データ消去を要求したりすることも可能だ。

併せて読みたいお薦め記事

「GDPR対策」についてもっと詳しく

• Appleが「GDPR」級のプライバシー保護機能を全ユーザーに　iOS 11.3に搭載
• いまさら聞けない「GDPR」（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？
• 一般データ保護規則（GDPR）の主な要件を満たすために、どこから手を付ければいい？

GDPRが求める「データ保護責任者」（DPO）とは

• GDPRが求める新職種「データ保護責任者」（DPO）の避けられない課題とは？
• GDPR対象企業の命運を握る「データ保護責任者」というポジション、その任務は？

　GDPRが定義する個人データは、個人を特定するために直接または間接的に使用可能な、幅広い情報を含む。EUのGDPRに関するポータルサイト「EUGDPR.org」のFAQ（よくある質問）ページによると、個人を特定する情報は、例えば以下が該当する。

• 氏名
• 写真
• メールアドレス
• 銀行の口座情報
• ソーシャルネットワーキングサービス（SNS）への投稿
• 生体情報
• 個人PCのIPアドレス

　IPアドレスを個人データと見なすべきかどうかについては、議論の余地がある。だがEUの立法者は、GDPRではIPアドレスを個人データと見なすと定めた。使用しているIPアドレスから、個人を特定することが可能なためだ。

　あらゆる個人データは、GDPRのデータ処理規則に従って処理しなければならない。この規則は、合法的かつ透明性のある方法で個人データを処理するよう企業に求める。収集後のデータは、明確かつ正当な目的で使用される必要がある。個人データの収集は、ビジネス上の妥当性がある場合のみに限定される。

　GDPRの個人データの定義には、企業がドキュメントを通じて明確にしなければならない“グレーゾーン”がある。