ISPのセキュリティ活動/脅威インテリジェンス共有という問題を考えていると、動的IPアドレスが、個人データに該当するの?という問題に直面します。
が、意外とこの問題についてのアカデミックな論文はないみたいです。ドイツの2015年までの状況を示す論文としては、實原隆志 「IP アドレスの個人情報該当性」があります。
それでもって、ウエブででてる記事も微妙な記述がされていたりします。
「IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね? 」
GDPRが定義する「個人データ」と、注意すべき“グレーゾーン”とは
そこで、「脅威情報共有のプラットフォーム(3)-MISPとGDPR」で、Breyer事件(ECLI:EU:C:2016:779)についてちょっとだけ触れたのですが、きちんと原文にあたってみましょうという感じです。原文は、こちらです。
事案を説明してくれているサイトとしては、「ECJ Declares IP Addresses are Personal Data」があります。
ちなみに、データ保護規則の時点での検討は、29条ワーキングパーティの「個人データの概念に関する意見4/2007」(Opinion 4/2007 on the concept of personal data)(wp136意見書)があります。
Breyer事件に戻ります
この事件は、ドイツの「海賊党」(Piratenpartei)のメンバーである原告のBreyer氏が、政府のウエブサイトが、訪問者のIPアドレスを記録していることを知って、ドイツ政府を訴え、自分のIPアドレスを保存することで、政府は違法に自分の個人情報を取り扱っていると主張したわけです。 この主張に対して、ドイツの下級裁判所が、異なる判断が下されており、 最終的に、この事件はドイツ連邦最高裁判所(Bundesgerichtshof)に持ち込まれました。
同連邦最高裁判所は、この点について客観(objective)的基準と相対(relative)的基準があるとして、第三者(アクセスプロバイダー)が、データ主体を識別するために追加の情報を有していた場合において、個人データ保護指令 の「個人データ」の解釈において(オンラインメディア)サービスの提供者が、自分のウエブサイトにアクセスしたときに保存する情報は、すでにサービスのための個人データに該当すると解釈しなければならないのか?等の問題について欧州裁判所の判断を求めました。
ちなみに實原論文だと「完全説」と「相対説」といっていますね。日本的には、ともに、提供先基準説をもとに、どのようなデータをどこまで考慮するのか、というような感じに思えます。
戻れば、この問題について、欧州裁判所は、「公衆にアクセス可能なウエブサイトを提供しているオンラインメディアによって登録されたダイナミックIPアドレスは、 サービス提供者は、インターネットが提供する追加データでデータ対象者を特定することを可能にする法的手段を持っている場合において、その提供者との関係において、その規定の意味での個人情報を構成すると解釈されなければならない」としました。
もっとも、解釈論としては、この問題については、一般データ保護規則(GDPR)において一定の結論が出されていえるでしょう。
前文30は、
サーバによって受信されるユニーク識別子及びその他の情報と組み合わされるときは、自然人のプロファイルをつくり出し、そして、自然人を識別するために用いられうる痕跡を残しうるものである
と上述のBreyer判決と同旨を明らかにしています。
また、GDPR6条(取扱の適法性)1条のデータ管理者によって求められる適法な利益のために取扱が必要な場合という規定に関して前文49においては、データ管理者の正当な利益を構成する行為として、ネットワーク及び情報の安全性を確保する目的のために厳密に必要性であり、かつ、比例的な範囲内で行われる個人データの取扱いがあることとされています。
同所では、これらの具体的な例として公的機関、コンピュータ緊急対応チーム(CERT)、コンピュータセキュリティインシデント対応チーム(CSIRT)、電子通信ネットワークのプロバイダ及び電子通信サービスのプロバイダ、並びに、セキュリティ技術及びセキュリティサービスの提供者による対抗するためのネットワークシステム又は情報システムの能力を確保する行為があげられています。
もっとも、何が、厳密に必要性であり、かつ、比例的な範囲内で行われるかというのは、はっきりしないということがいえそうです。また、オープンインターネット規則におけるトラフィック管理の例外として許容される行為とは何かという問題もあります。日本的には、「通信の秘密」としても保護される利益でしょうし、通信の秘密とサイバーセキュリティの交錯する関係のもっとも代表する論点ということもいえそうです。
