一般的なデータ保護規則
25についてth XNUMX月に、一般データ保護規則(GDPR)が施行されます。 GDPRの導入に伴い、個人データの保護がますます重要になっています。 企業は、データ保護に関してより厳格なルールを考慮する必要があります。 ただし、GDPRの導入の結果として、さまざまな疑問が生じます。 企業の場合、どのデータが個人データと見なされ、GDPRの範囲に含まれるかが不明確になる可能性があります。 これは電子メールアドレスの場合です。電子メールアドレスは個人データと見なされますか? メールアドレスを使用する企業はGDPRの対象ですか? これらの質問は、この記事で回答されます。
個人データ
メールアドレスが個人データと見なされるかどうかの質問に答えるために、用語「個人データ」を定義する必要があります。 この用語はGDPRで説明されています。 GDPRの第4条に基づいて、個人データとは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。 識別可能な自然人とは、特に名前、識別番号、場所データ、またはオンライン識別子などの識別子を参照して、直接的または間接的に識別できる人です。 個人データは自然人を指します。 したがって、故人または法人に関する情報は、個人データとは見なされません。
メールアドレス
個人データの定義が決定されたので、電子メール アドレスが個人データとみなされるかどうかを評価する必要があります。 オランダの判例法では、電子メール アドレスが個人データである可能性があるが、常にそうとは限らないことが示されています。 電子メール アドレスに基づいて自然人が特定されるか、または特定可能かどうかによって異なります。[1] 電子メール アドレスが個人データとしてみなされるかどうかを判断するには、電子メール アドレスがどのように構成されているかを考慮する必要があります。 多くの自然人は、アドレスが個人データであるとみなされるように電子メール アドレスを構造化しています。 たとえば、電子メール アドレスが firstname.lastname@gmail.com のように構成されている場合がこれに該当します。 この電子メール アドレスは、そのアドレスを使用する自然人の姓名を公開します。 したがって、この電子メール アドレスに基づいてこの人物を特定できます。 ビジネス活動に使用される電子メール アドレスには、個人データが含まれる場合もあります。 これは、電子メール アドレスが次のように構成されている場合に当てはまります:Initials.lastname@nameofcompany.com。 この電子メール アドレスから、その電子メール アドレスを使用している人のイニシャル、姓、およびその人の勤務先が導き出されます。 したがって、このメールアドレスを使用している人は、メールアドレスに基づいて特定できます。
電子メール アドレスから自然人を識別できない場合、電子メール アドレスは個人データとはみなされません。 たとえば、電子メール アドレス puppy12@hotmail.com が使用される場合がこれに該当します。 このメールアドレスには自然人を特定できるデータは含まれておりません。 info@nameofcompany.com など、企業が使用する一般的な電子メール アドレスも個人データとみなされません。 このメールアドレスには自然人を特定できる個人情報は含まれておりません。 さらに、電子メール アドレスは自然人ではなく法人によって使用されます。 したがって、個人データとはみなされません。 オランダの判例から、電子メール アドレスは個人データになり得ると結論付けることができますが、常にそうとは限りません。 それは電子メール アドレスの構造によって異なります。
自然人は、使用しているメールアドレスで識別できる可能性が高く、メールアドレスが個人データになります。 電子メールアドレスを個人データとして分類するために、会社が実際に電子メールアドレスを使用してユーザーを識別するかどうかは重要ではありません。 会社が自然人の識別を目的としてメールアドレスを使用していなくても、自然人を識別できるメールアドレスは依然として個人データと見なされます。 データを個人データとして指定するために、人とデータの間のすべての技術的または偶然の接続が十分であるとは限りません。 ただし、ユーザーを特定するため、たとえば詐欺のケースを検出するためにメールアドレスを使用できる可能性がある場合、メールアドレスは個人データと見なされます。 この場合、会社がこの目的でメールアドレスを使用することを意図していたかどうかは問題ではありません。 法律は、データが自然人を特定する目的で使用される可能性がある場合、個人データについて述べています。[2]
特別な個人データ
ほとんどの場合、電子メールアドレスは個人データと見なされますが、特別な個人データではありません。 特別な個人データとは、人種的または民族的起源、政治的見解、宗教的または哲学的信念または貿易のメンバーシップ、および遺伝的または生体認証データを明らかにする個人データです。 これは、GDPR第9条に由来しています。 また、メールアドレスに含まれる公開情報は、たとえば自宅のアドレスよりも少なくなります。 自宅のアドレスよりも誰かのメールアドレスを知ることは困難であり、メールアドレスが公開されているかどうかは、メールアドレスのユーザーに大きく依存します。 さらに、非表示のままにしておくべきメールアドレスを発見しても、非表示のままにしておくべき自宅アドレスを発見するよりも深刻な影響はありません。 自宅のアドレスよりもメールアドレスを変更する方が簡単です。メールアドレスの発見はデジタルコンタクトにつながり、自宅のアドレスの発見は個人的なコンタクトにつながる可能性があります。[3]
個人データの処理
ほとんどの場合、メールアドレスは個人データであると見なされます。 ただし、GDPRは個人データを処理している企業にのみ適用されます。 個人データの処理は、個人データに関するあらゆる行為に存在します。 これは、GDPRでさらに定義されています。 GDPR第4条2項によれば、個人データの処理とは、自動手段であるかどうかにかかわらず、個人データに対して実行されるすべての操作を意味します。 例としては、個人データの収集、記録、整理、構造化、保存、および使用があります。 企業が電子メールアドレスに関して上記のアクティビティを実行すると、個人データが処理されます。 その場合、それらはGDPRの対象となります。
まとめ
すべてのメールアドレスが個人データと見なされるわけではありません。 ただし、電子メールアドレスは、自然人に関する識別可能な情報を提供する場合、個人データと見なされます。 多くのメールアドレスは、メールアドレスを使用する自然人を識別できるように構成されています。 これは、メールアドレスに自然人の名前または職場が含まれている場合です。 したがって、多くのメールアドレスは個人データと見なされます。 メールアドレスの構造に完全に依存するため、企業が個人データと見なされるメールアドレスとそうでないメールアドレスを区別することは困難です。 したがって、個人データを処理する企業は、個人データと見なされる電子メールアドレスに出くわすことになります。 つまり、これらの企業はGDPRの対象であり、GDPRに準拠したプライバシーポリシーを実装する必要があります。
[1] ECLI:NL:GHAMS:2002:AE5514。
【2] カメルシュトゥッケンII 1979 / 80、25 892、3(MvT)。
[3] ECLI:NL:GHAMS:2002:AE5514。