個人データを、ビジネスを守る、IIJ

【回答公開中】
自動的な手段とは?


  • 2020年10月1日

質問

GDPR第2条1項の実体的適用範囲についての質問です。条文は次のようです。
This Regulation applies to the processing of personal data wholly or partly
by automated means and to the processing other than by automated
means of personal data which form part of a filing system or are intended
to form part of a filing system.
(個人情報保護委員会仮訳) 本規則は、その全部又は一部が自動的な手段による個人データの取扱いに対し、並びに、自動的な手段以外の方法による個人データの取扱いであって、ファイリングシステムの一部を構成するもの、又は、ファイリングシステムの一部として構成することが予定されているものに対し、適用される。
このautomated means(自動的な手段)につき、PCでExcelによって処理するようなことも自動的な手段に入ると解説されていますが、単に人が介するか介さないかと いう基準で自動かどうかを判定しているのとは異なるものなのでしょうか?
(この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。)

回答

GDPRの第2条は実体的範囲を規定していますが、条文でも前文でも "automated means" の定義は示されていません。EUの公式文書でもautomated meansの定義を詳しく解説したものはありません。しかし、この条文について解説した英国の監督機関であるICOのドキュメント
https://ico.org.uk/media/for-organisations/data-protection-reform/overview-of-the-gdpr-1-13.pdf
によると、

The GDPR applies to both automated personal data and to manual filing
systems where personal data are accessible according to specific criteria.
GDPRは、明確な基準に従い個人データが利用される自動処理や手動のファイリングシステムに適用される(IIJ訳)。

とされており、automated personal data の対概念としてmanual filing systemが示されています。このことからautomated meansとは、手作業によるものではない、コンピュータなどの装置で自動化された個人データの処理であると考えられます。

人が関与しているかどうかという意味では、条文では、"wholely or partly by automated means"とされているので、たとえば、データベースシステムへの入力作業が人手によるものであっても、この定義には該当するので、部分的に自
動化されていれば、例えばコンピュータシステムを利用した保存、分析などが行われていれば、automated meansによるものと考えられます。

したがって、ご理解のように、業務手順の一部が電子化された処理は(全部または一部が)自動処理であり、第2条に該当するものと考えられます。反対に、自動化されていない処理とは、ご理解のように、すべての手順が紙媒体、フィルム、テープなどに依存し、人力で行われている処理であると考えられます。

関連する記事