2025年9月、EU司法裁判所は「同じデータでも、使う人の立場によって個人情報になるかどうかが変わる」という判断を再確認しました(通称「デロイト判決」)。
たとえば、名前が書かれていないデータでも、別の情報と組み合わせれば誰のことか分かる場合、そのデータは個人情報として法律で保護されます。
重要なポイント
1. 「匿名」か「個人情報」かはケースバイケース
-
ある人にとって匿名に見えるデータでも、他の情報と組み合わせれば個人が特定できるなら、それは個人情報です。
-
データを使う人が、その人を識別できるかどうかが重要です。
2. 判決は新しくないが、影響は大きい
この判断自体は以前の「Breyer判決」でも出されており、**GDPR(EU一般データ保護規則)**でも明記されています。
しかし、今回の判決で、各国のデータ保護機関やBig Tech企業がルールを曖昧に運用できなくなりました。
技術的な例:IPアドレスの扱い
-
通信事業者は、IPアドレスと契約者情報を結びつけられる → 個人情報
-
Webサイト運営者はIPだけでは誰か分からない → 匿名情報
→ ただし、ユーザーがログインしていれば、IPも個人情報に変わります。
分析サービスでのリスク
-
サイト運営者が匿名でデータを送っていても、受け取る側(分析ツール提供者)が他の情報と結びつけて個人を特定できる場合、そのデータは個人情報扱いになります。
-
これにより、科学研究などの正当な匿名データ活用まで規制対象になる恐れもあります。
Big Techへの影響
-
今までBig Tech企業は「外部から受け取るデータは匿名だから規制対象外」と主張していましたが、それは通用しなくなります。
-
今後は、データの受け取り方や活用方法を個別に見直す必要があります。
データ保護当局も対応が必要
-
今までは「データを扱っているから法律の対象」と機械的に判断していたケースも、今後は実際に個人特定できるかを確認する必要があります。
結論
この判決は、「匿名に見えるデータでも、使い方次第で個人情報になり得る」という原則を再確認したもので、
-
Big Techのデータ運用
-
各国の監視体制
-
科学研究やプライバシー保護のバランス
に対して、大きな影響を与えることになります。
A longer text in English is here.