IPアドレスは個人情報・個人データと "即座には" 言えないという話

人間、生きているとIPアドレスを持つけれど、そのIPアドレスは果たして個人情報やそれに類するものに相当するのだろうか、という話。 結論から言うと、「即座には」個人情報であるとは言えない、というのが EU の現在*1の状況だ。これは多分カリフォルニアとかでも同じ。

TL;DR あるいは FAQ

  • GDPR のもと、 IP アドレスは個人データになりうるが、それは国のような ISP からデータを引き出しうる存在か、 Tech Giants のように大量のデータを保有していてそれにより個人を特定可能な存在が保有している場合のみ。一般人やそこらの Web ページ管理者には本来そこまで関係はない
  • 個人データに相当する場合であっても、外部からの攻撃への対処など、正当な事由があれば、IPアドレスを保持することはできる
  • CDN については今のところNGとなる事例は見てない(知ってたら教えてください)
  • Web Fonts の件はだいぶきな臭い。配布元を直リンクせず、自環境から配信するようにしとくのが無難

GDPR における重要判決

2016年、ドイツ連邦政府が持つWebサイトにて国民のIPアドレスを保管していることはGDPRに違反している、という訴えがあった。日本では考えられないようなことだけど、なるほど論理は成立している。政府のアンケートサイトでIPアドレスが収集されていたら、政府はその回答が誰によるものかを特定できてしまう可能性がある。したがってIPアドレスは個人データであり、その用途についてユーザに明示されなければならない、と。

www.dw.com

www.twobirds.com

これに対するEUの最高司法機関であるところのCJEUは、以下の見解を示した:

  • IPアドレスは、ISPのようにアドレスと個人とを紐づけられるリストを持っている場合には個人データにあたる
    • 紐づけるデータを自身が持たない場合であっても、それを現実的に紐づけられる可能性がある場合は、個人データにあたる
    • 政府は必要に応じて ISP から情報を召し上げることが可能なので、この条件が当てはまる
  • 個人データにあたる場合であっても、攻撃への対処など、運用に必要である場合は保持できる

簡単に言うと、政府やISPでなければIPアドレスを個人情報として取り扱う必要はない、ということになる。

個人データに相当するはず??

GDPR には IP アドレスは個人データの代表的な例として明示されている!!という主張を見たことがある。

www.fieldfisher.com

It's been made clear in the General Data Protection Regulation ("GDPR") that IP addresses should be considered as personal data as the text includes "online identifier", in the definition of "personal data". Recital 30 clarifies that "online identifier" includes IP addresses.

先ほどの判決が 2016 年である一方、実は GDPR は 2018 年に改訂されている。 2016 年の判決より 2018 年以降の条文のほうが重要だ、というのは完全にその通り。 うーん、でもそんな2年でそこまで正反対に変わるだろうか。 GDPR 原文を見に行ってみよう。

gdpr-info.eu

The term ‘personal data’ is the entryway to the application of the General Data Protection Regulation (GDPR). Only if a processing of data concerns personal data, the General Data Protection Regulation applies. The term is defined in Art. 4 (1). Personal data are any information which are related to an identified or identifiable natural person.

(雑な訳)GDPR は、処理されるデータが「個人データ」に相当する場合のみに適用される。個人データは、識別された(あるいは識別可能な)個人に関する情報である。

The data subjects are identifiable if they can be directly or indirectly identified, especially by reference to an identifier such as a name, an identification number, location data, an online identifier or one of several special characteristics, which expresses the physical, physiological, genetic, mental, commercial, cultural or social identity of these natural persons. In practice, these also include all data which are or can be assigned to a person in any kind of way. For example, the telephone, credit card or personnel number of a person, account data, number plate, appearance, customer number or address are all personal data.

(雑な訳)データが識別可能であるとは、名前やID番号、位置情報、オンライン識別子、個人の属性などにより個人を識別可能な場合をいう。

Since the definition includes “any information,” one must assume that the term “personal data” should be as broadly interpreted as possible. This is also suggested in case law of the European Court of Justice, which also considers less explicit information, such as recordings of work times which include information about the time when an employee begins and ends his work day, as well as breaks or times which do not fall in work time, as personal data. Also, written answers from a candidate during a test and any remarks from the examiner regarding these answers are “personal data” if the candidate can be theoretically identified. The same also applies to IP addresses. If the controller has the legal option to oblige the provider to hand over additional information which enable him to identify the user behind the IP address, this is also personal data. In addition, one must note that personal data need not be objective. Subjective information such as opinions, judgements or estimates can be personal data. Thus, this includes an assessment of creditworthiness of a person or an estimate of work performance by an employer.

(雑な訳)定義に「いかなる情報も」と含まれているとおり、管理者は「個人データ」に相当するものが広範であることを認識しなければならない。例えば勤務時間。例えばテストの回答。そのデータから個人を理論上特定できるのであればそのデータは "personal data" 「個人データ」となる。 これは同じことがIPアドレスにも言える。データの持ち主がそのIPアドレスから個人を特定するための情報をISP(プロバイダ)から引き出すことができるのであれば、それは個人データである。

とある。改めて読んでみると、GDPRにおけるIPアドレスの取り扱いは2016年の判決をそのまま定義に落とし込んだようなものであるのがわかる。

一点違っているかもしれないのは、2016年の判決ではあるデータから個人が「現実的に特定可能である」場合に個人データとなるとされていたものが、GDPR原文では「理論上特定可能である」と明記されるようになっている点。2016年は時間的・コスト的に特定が現実的に可能である場合とされていた。これは例えば3年と100億円かけて一人の人間を特定可能だったとしたとき、それを現実的ととらえるかは判断が分かれそうなところだった。のだが、2018年改正GDPRではそれくらいであれば理論上特定可能と判断されるんだろう。

(余談だけど、 GDPR における「個人を特定」という言葉は、必ずしも個人を1人に特定できる必要はない。ある程度の狭い属性に絞れたらそれで充分個人を特定できているものと考えている)

ということで、 GDPR において IP アドレスは即座に個人情報となるわけではない。また基本的には 2016 年の判決をもとに判断していけばよい

2022年初のドイツの判決は?

で、今話題の。

rewis.io

2022年1月、ドイツ地方裁判所にて、「Web Fontsを利用したことはIPアドレスGoogleに渡っており、個人データの域外移転にあたる。原告に100ユーロ払え」という判決が出た*2

これも記事にまとめたかったけど、眠いから今日はここまで。ざっくり言うと

  • ストーリー
    • IPアドレスGoogleが持っていれば個人データになる。企業の Web サイトに Web Fonts を置くことで Google に IP アドレスを共有した。この IP アドレスは Google が持つと個人データとなる。 Google に入ったデータは US に留まるため、これは個人データの域外移転である。ドイツ民法から、個人が持つデータをコントロールする権利を侵害していると認められる。被告は原告に対し100ユーロ払え。
  • 判決の中で述べられている興味深い点
    • Web Fonts を Google からではなく Web サイトから直接配信する選択肢もあったにも関わらず、それを実施していない
    • サイト閲覧者は Google に IP アドレスが送信されることを回避することはできなかった
    • サイト閲覧者が IP アドレスを知られたくないからといって、 IP アドレスを Encrypt (たぶん例えば CGNAT 下や Tor, Public Proxy 等によって個人を特定困難にすること)するような努力をする必要はない
  • 所感
    • いや IP アドレスを渡してるのはその Web サイトというわけではない(本人が直接アクセスしている)んだけども……でもユーザからの許可なくアクセスさせているからダメということらしい。まあリファラもあればその他 fingerprint もあるから、それで個人を特定できるからダメという話自体は理解できなくはないのだけども
    • 所詮100ユーロなので弁護士費用や時間効率を考えるとこれで荒稼ぎするのは難しく、いやがらせに使う程度だろうか。日本の非Health企業に矛先が向かうのはもうちょい先かなあ
    • Web サイトの規約に「ここに送信します」って書いただけだと今回の Web Fonts 問題は多分回避できない
    • 今回の判決はドイツ地裁なので、今後変わる可能性はある。ただ、オーストリアの件も然り、 EU 全体として今は締め付ける方向に話が向かっており、今後も継続的に様子を見ていかなければならない
    • Web Fonts は自分のサーバから配信するようにしておくのが無難
    • GoogleGDPR とは広告における個人特定に関してずっと確執があった。ここでの IP アドレスは広告における個人の特定という文脈のほうが近そう

あとこの記事が勉強になったので忘れないようリンク張っとく:

news.yahoo.co.jp

色々と勉強中なので有識者からのツッコミ大歓迎です。

*1:2022年2月

*2:EUに支払う罰金ではない