旧EUデータ保護指令が適用される「ファイリングシステム」の範囲


紙媒体に記録された個人データへのGDPR適用

GPDR第2条は、同法の適用対象を、(1)処理の全部または一部が自動化された個人データの処理、および(2)自動化されていないがファイリングシステムを構成し、または構成することが意図されている個人データの処理としている。また、第4条では、ファイリングシステムを、特定の基準に基づいてアクセスすることができる構造化された個人データの組と定義している。そこで、紙媒体に記録された個人データがGDPRの適用対象となるかどうかが問題となる。

一定の基準で並べられ、特定の情報にアクセスしやすい紙媒体ファイルは旧法の適用対象

英国の控訴院(Court of Appeal)が3月11日、この問題に関する判断を含む判決を下した。この事件では、弁護士事務所が扱う事件について、紙媒体の記録が時系列に並べられたファイル群が1998年英国データ保護法(「旧法」)の適用を受けるファイリングシステムに該当し、データ主体からの情報開示請求の対象となるかどうかが争われた。旧法における「ファイリングシステム」の定義は、次のとおりである。
‘relevant filing system’ means any set of information relating to individuals to the extent that, although the information is not processed by means of equipment operating automatically in response to instructions given for that purpose, the set is structured, either by reference to individuals or by reference to criteria relating to individuals, in such a way that specific information relating to a particular individual is readily accessible.”
ポイントとなるのは、「個人への参照により、または、個人に関係する基準への参照により、特定の個人に関する情報が簡単にアクセスできるように構造化されたデータの組」という部分の解釈である。

時系列に並べられただけでは旧法適用対象にならない

控訴院は、時系列的に並べられた一件書類ファイルから情報開示請求件の対象となるデータを探し出すためには、人手で1ページずつファイルを調べていくほかなく、この点において、同一件書類ファイルの構造は、データに簡単にアクセスできるように構造化されたものとは言えず、したがって同一件書類ファイルは、旧法の適用を受けるファイリングシステムには該当しないと判示した。

この判決はGDPR適用対象の判断にも参考になる

この判決は、旧法の定義に関する判断ではあるが、紙媒体に記録された個人データの集合物がGDPRの適用対象となる「特定の基準に基づいてアクセスすることができる構造化されたデータの組」と言えるかどうかを判断する上で参考になると思われる。

 

判決:https://www.bailii.org/ew/cases/EWCA/Civ/2020/352.html

関連記事