欧州 EDPB ブロックチェーン技術によるパーソナルデータの処理に関するガイドライン02/2025 (2025.04.14)

こんにちは、丸山満彦です。

欧州データ保護会議（EDPB）がブロックチェーン技術によるパーソナルデータの処理に関するガイドライン Ver1.1を公表し、意見募集をしていますね...

16のRecomendationsがあり、参考になるかもです...

 

● European Data Protection Board

・2025.04.14 EDPB adopts guidelines on processing personal data through blockchains and is ready to cooperate with AI office on guidelines on AI Act and EU data protection law

EDPB adopts guidelines on processing personal data through blockchains and is ready to cooperate with AI office on guidelines on AI Act and EU data protection law	EDPB、ブロックチェーンを通じた個人データの処理に関するガイドラインを採択 AI法とEUデータ保護法に関するガイドラインでAIオフィスと協力する用意も
Brussels, 14 April - During its April 2025 plenary, the European Data Protection Board (EDPB) has adopted guidelines on processing of personal data through blockchain technologies.  A blockchain is a distributed digital ledger system that can confirm transactions  and  establish  who  owned  a  digital  asset  (such  as cryptocurrency)  at  a  given  time. Blockchains can also support the secure handling and transfer of data, ensuring its integrity and traceability.	ブリュッセル、4月14日 - 欧州データ保護会議（EDPB）は2025年4月の本会議で、ブロックチェーン技術を通じたパーソナルデータの処理に関するガイドラインを採択した。 ブロックチェーンは分散型デジタル台帳システムであり、取引を確認し、ある時点におけるデジタル資産（暗号通貨など）の所有者を確定することができる。ブロックチェーンはまた、データの安全な取り扱いと転送をサポートし、その完全性とトレーサビリティを確保することができる。
As the use of blockchain technologies is expanding, the Board considers it important to help organisations using these technologies to comply with the GDPR.	ブロックチェーン技術の利用が拡大する中、理事会は、これらの技術を利用する輸入事業者がGDPRを遵守するのを支援することが重要であると考えている。
In its guidelines, the EDPB explains how blockchains work, assessing the different possible architectures and their implications for the processing of personal data.	EDPBはガイドラインの中で、ブロックチェーンがどのように機能するかを説明し、さまざまな可能性のあるアーキテクチャとパーソナルデータの処理に対するその意味をアセスメントしている。
The guidelines highlight the importance of implementing technical and organisational measures at the earliest stages of the design of the processing. The EDPB also clarifies that the roles and responsibilities of the different actors in a blockchain-related processing of personal data should be assessed during the design of the processing.	ガイドラインは、処理の設計の初期段階で技術的・組織的対策を実施することの重要性を強調している。EDPBはまた、ブロックチェーンに関連したパーソナルデータの処理における様々な関係者の役割と責任は、処理の設計中にアセスメントされるべきであると明確にしている。
In addition, organisations should carry out a Data Protection Impact Assessment (DPIA) before processing personal data through blockchain technologies, where the processing is likely to result in a high risk to the rights and freedoms of individuals.	さらに、組織は、ブロックチェーン技術による個人データの処理が個人の権利と自由に高いリスクをもたらす可能性がある場合、その処理の前にデータ保護インパクトアセスメント（DPIA）を実施すべきである。
According to the Board, organisations should also ensure the highest protection of individuals’ personal data during the processing so that they are not made accessible to an indefinite number of persons by default.	理事会によると、組織はまた、処理中に個人のパーソナルデータの最高の保護を確保し、デフォルトで不特定多数の人がアクセスできるようにならないようにすべきである。
The guidelines provide examples of different techniques for data minimisation, as well as for handling and storing personal data. As a general rule, storing personal data in a blockchain should be avoided if this conflicts with data protection principles.	同ガイドラインは、個人データの取り扱いや保管だけでなく、データ最小化のためのさまざまな手法の例を示している。原則として、ブロックチェーンに個人データを保存することは、データ保護の原則に抵触する場合は避けるべきである。
Finally, the Board highlights the importance of the rights of individuals especially regarding transparency, rectification and erasure of personal data.	最後に、理事会は、特に個人データの透明性、修正、消去に関する個人の権利の重要性を強調している。
The guidelines will be subject to public consultation until 9 June 2025, providing stakeholders with the opportunity to comment.	ガイドラインは2025年6月9日まで公開協議の対象となり、利害関係者にコメントする機会を提供する。
During its latest plenary, the EDPB also decided to closely cooperate with the AI Office in relation to the drafting of the guidelines on the interplay between the AI Act and EU data protection legislation.	EDPBはまた、最新の本会議において、AI法とEUデータ保護法との相互関係に関するガイドラインの起草に関して、AI事務局と緊密に協力することを決定した。

 

 

・2025.04.14 Guidelines 02/2025 on processing of personal data through blockchain technologies

Guidelines 02/2025 on processing of personal data through blockchain technologies	ブロックチェーン技術によるパーソナルデータの処理に関するガイドライン02/2025
The European Data Protection Board welcomes comments on the Guidelines 02/2025 on processing of personal data through blockchain technologies.	欧州データ保護会議は、ブロックチェーン技術によるパーソナルデータの処理に関するガイドライン02/2025に対するコメントを歓迎する。
Such comments should be sent 9th June 2025 at the latest using the provided form.	コメントは遅くとも2025年6月9日までに、プロバイダのフォームを利用して送付されたい。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website.	なお、コメントを提出することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB.	EDPB事務局スタッフは、公開前に提出されたすべての返信を審査し（スパムなど不正な投稿をブロックする目的のみ）、その後、返信はEDPB公開協議のページで直接一般に公開される。不正な投稿は直ちに削除される。添付されたファイルは、EDPBによって変更されることはない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules.	なお、いずれのオプションを選択した場合でも、欧州議会、理事会および欧州委員会の文書に対する一般公開に関する規則1049/2001に基づき、文書へのアクセス要求の対象となる場合がある。この場合、要請は同規則に定められた条件に照らし合わせ、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS)	すべての法的な詳細は、当社の特定プライバシー規約（SPS）に記載されている。

 

・[PDF] Guidelines 02/2025

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The distributed nature of blockchain and the complex mathematical concepts involved imply a high degree of complexity and uncertainty that leads to specific challenges with respect to the processing of personal data. In this context, in order to ensure that the processing of personal data complies with the GDPR, risks for rights and freedoms of data subjects need to be carefully assessed. Some of these risks can be mitigated through technical measures upfront, while finding a solution for other risks of non-compliance might be more challenging at this stage. Furthermore, blockchains have certain properties that can lead to challenges when dealing with the requirements of the GDPR. Such properties require to reinforce data protection by design measures in order to implement principles and rights, for example/like the principle of storage limitation and data subjects’ rights such as the right to rectification and the right to be forgotten. Therefore, the controller should carefully assess the blockchain solution it intends to use to avoid non-compliance risks and specific risks to the rights and freedoms of data subjects.	ブロックチェーンの分散された性質と複雑な数学的概念は、高度な複雑性と不確実性を意味し、パーソナルデータの処理に関する特定の課題につながる。この文脈において、パーソナルデータの処理がGDPRに準拠していることを保証するためには、データ対象者の権利と自由に対するリスクを慎重にアセスメントする必要がある。これらのリスクの一部は、前もって技術的な対策を講じることで緩和することができるが、その他のコンプライアンス違反のリスクに対する解決策を見つけることは、現段階では難しいかもしれない。さらに、ブロックチェーンにはGDPRの要件に対処する際に課題となり得る特定の特性がある。このような特性は、例えば／保存制限の原則や、訂正権や忘れられる権利などのデータ対象者の権利など、原則や権利を実施するために、設計上の対策によってデータ保護を強化する必要がある。したがって、データ管理者は、コンプライアンス違反リスクやデータ対象者の権利と自由に対する特定のリスクを回避するために、使用しようとするブロックチェーン・ソリューションを慎重に評価する必要がある。
These guidelines provide a framework for organizations considering the use of blockchain technology, outlining key GDPR compliance considerations for planned processing activities. They provide an overview of the fundamental principles of blockchain technology, assessing the different possible architectures and their implications for the processing of personal data. Furthermore, they clarify that roles and responsibilities of different actors in a blockchain related processing need to be assessed during the design of a processing and what elements need to be considered in this respect.	本ガイドラインは、ブロックチェーン技術の利用を検討している組織に枠組みを提供し、計画されている処理活動に関するGDPRコンプライアンス上の主な検討事項を概説している。ブロックチェーン技術の基本原則の概要を提供し、さまざまな可能性のあるアーキテクチャとパーソナルデータの処理に対するその意味をアセスメントしている。さらに、ブロックチェーンに関連する処理における様々な関係者の役割と責任は、処理の設計中にアセスメントされる必要があり、この点に関してどのような要素を考慮する必要があるかを明らかにしている。
Depending on the purpose of processing for which blockchain technology is used, different categories of personal data may be processed. The guidelines highlight the need for Data Protection by Design and by Default and adequate organisational and technical measures. They also provide examples of different techniques for data minimisation and for handling and storing personal data.	ブロックチェーン技術が使用される処理目的によっては、異なるカテゴリーのパーソナルデータが処理される可能性がある。本ガイドラインは、Data Protection by Design and by Defaultと適切な組織的・技術的措置の必要性を強調している。また、データの最小化、個人データの取り扱いと保管に関するさまざまな技術の例も示している。
As a general rule, storing personal data on a blockchain should be avoided, if this conflicts with data protection principles. To assist with the compliance with data protection principles, one of several available advanced techniques, appropriate organisational measures and appropriate data protection policies[1] should be used when considering storage of personal data on-chain. The guidelines detail technical aspects and different ways of implementation for such techniques, highlighting their strengths and weaknesses in order to help organizations on choosing appropriate measures.	原則として、ブロックチェーン上に個人データを保存することは、データ保護の原則に抵触する場合は避けるべきである。データ保護原則の遵守を支援するため、個人データのオンチェーン保存を検討する際には、利用可能ないくつかの高度な技術のうちの1つ、適切な組織的措置、および適切なデータ保護方針（[1] ）を用いるべきである。本ガイドラインは、組織が適切な手段を選択する際の助けとなるよう、そのような技術の技術的側面とさまざまな実装方法を詳述し、その長所と短所を強調している。
Additionally, the guidelines discuss the interplay between the technical aspects of blockchain and the data protection principles of Article 5 GDPR. They emphasize the importance of the rights of data subjects especially regarding transparency, rectification and erasure. The guidelines also highlight the importance of carrying out a Data Protection Impact Assessment (DPIA) prior to implementing a processing using blockchain technology and provide key aspects to be considered in a structured way when conducting a DPIA.	さらにガイドラインは、ブロックチェーンの技術的側面とGDPR第5条のデータ保護原則との相互関係について論じている。特に透明性、修正、消去に関するデータ対象者の権利の重要性を強調している。ガイドラインはまた、ブロックチェーン技術を使用した処理を実施する前にデータ保護影響アセスメント（DPIA）を実施することの重要性を強調し、DPIAを実施する際に構造化された方法で考慮すべき主要な側面を提供している。
Finally, in Annex A the guidelines provide a set of concise recommendations for organizations planning to set up a blockchain based processing.	最後に、附属書Aでは、ブロックチェーン・ベースの処理を計画している組織に対する簡潔な推奨事項を示している。
[1] GDPR Art 24 (1) and (2)	[1]GDPR第24条(1)および(2)

 

目次...

1  Introduction	1  序文
2  Context and Scope of Application	2  文脈と適用範囲
3  Description of the technology of blockchains	3  ブロックチェーンの技術について
3.1  Different types of blockchains	3.1  ブロックチェーンの種類
3.2  Data inside a blockchain	3.2  ブロックチェーン内のデータ
3.3  Roles and responsibilities	3.3  役割と責任
4  Evaluating Blockchain-Based Processing	4  ブロックチェーン・ベースの処理を評価する
4.1  Introduction	4.1  序文
4.2  Processing of personal data	4.2  パーソナルデータの処理
4.3  Principles of Data Protection	4.3  データ保護の原則
4.4  Lawfulness of processing	4.4  処理の合法性
4.5  International transfers	4.5  国際送迎
4.6  Data protection by design and by default	4.6  設計とデフォルトによるデータ保護
4.7  Data retention periods	4.7  データ保持期間
4.8  Security	4.8  セキュリティ
4.9  Data Protection Impact Assessment	4.9  データ保護影響アセスメント
5  Data subject rights	5  データ対象者の権利
5.1  Information of data subjects, right of access and right to data portability	5.1  データ対象者の情報、アクセス権およびデータ・ポータビリティの権利
5.2  Right to erasure and right to object	5.2  消去権と異議申し立ての権利
5.3  Right to rectification	5.3  修正権
5.4  Right to object to a solely automated decision	5.4  もっぱら自動化された決定に対する異議申し立ての権利
ANNEX A – Recommendations	附属書A - 提言事項
ANNEX B – Glossary	附属書B - 用語集

 

附属書A - 推奨事項

ANNEX A – RECOMMENDATIONS	附属書A - 提言事項
Recommendation 1. Architecture – Documentation	提言 1. アーキテクチャ - ドキュメンテーション
The EDPB recommends to controller and processors to document:	EDPBは、コントローラーとプロセッサーに対し、文書化することを提言する：
i. Will the data on the blockchain contain personal data?	i. ブロックチェーン上のデータに個人データは含まれるのか？
ii. If so, why is a blockchain a necessary and proportionate means for this processing? (i.e. What is the rationale for this choice? What were the eventual alternatives?)	ii. もしそうなら、なぜブロックチェーンがこの処理に必要かつ適切な手段なのか？(つまり、この選択の根拠は何か？最終的にどのような選択肢があったのか？）
iii. What type of blockchain should be used? (i.e. Is a private blockchain sufficient? Can a permissioned blockchain be used? Is a “zero-knowledge” architecture possible?)	iii. どのようなブロックチェーンを使うべきか？(プライベート・ブロックチェーンで十分か？許可制のブロックチェーンは使えるか？ゼロ知識」アーキテクチャは可能か
iv. What technical and organisational measures are used? (i.e. Will personal data be stored offchain? Which privacy-preserving technologies are used?)	iv. どのような技術的・組織的手段を用いるのか。(例：個人データはオフチェーンで保存されるか？どのようなプライバシー保護技術が使われているか？）
Recommendation 2. Architecture – Off-chain storage	提言 2. アーキテクチャ - オフチェーン・ストレージ
The EDPB recommends controllers to store any additional personal data off-chain, beyond the identifiers already present on-chain in transaction metadata, to mitigate data protection risks.	EDPBは、データ管理者に対し、データ保護リスクを緩和するため、トランザクションメタデータに含まれる識別子を超えて、個人データをオフチェーンに保存することを提言する。
Recommendation 3. Information	提言 3. インフォメーション
Data controllers must inform data subjects in clear terms on the rationale of the processing, the existence of their rights and the modalities to exercise them. Suitable times to provide such information are when a data subject is about to commit data to the blockchain and on creation of the blockchain itself. The information should also be available for data subjects to find at other times, e.g. on the controller's website.	データ管理者は、データ対象者に対し、処理の根拠、権利の存在、権利行使の方法について明確な言葉で通知しなければならない。このような情報を提供する適切なタイミングは、データ対象者がブロックチェーンにデータをコミットしようとするときと、ブロックチェーン自体の作成時である。この情報は、データ管理者のウェブサイトなど、データ対象者が他のタイミングでも入手できるようにすべきである。
Recommendation 4. Minimisation	提言 4. 最小化
Controllers should assure that only data that is relevant and limited to what is necessary in relation to the purposes are processed. The amount of personal data stored on- and off-chain, the period of their storage and their accessibility should be minimised. Assessment in this regard should be documented for the metadata as well as for the payload of the transactions.	データ管理者は、目的に関連し、必要なものに限定されたデータのみが処理されることを保証すべきである。オン・チェーンおよびオフ・チェーンに保存される個人データの量、保存期間、およびアクセシビリティは最小化されるべきである。この点に関するアセスメントは、トランザクションのペイロードだけでなく、メタデータについても文書化されるべきである。
Recommendation 5. Trust	提言 5. 信頼
The choices of implementation should include mechanisms for assuring trust including in software and nodes’ identities. It might be done, for example, through certification by international standards and independent third parties.	実装の選択には、ソフトウェアやノードのIDを含む信頼を保証するメカニズムを含めるべきである。例えば、国際標準や独立したサードパーティによる認証などである。
Recommendation 6. Legal provisions if use of blockchain is mandated by law	提言6. ブロックチェーンの利用が法律で義務付けられる場合の法的規定
Where the use of a blockchain is mandated by Union or Member State law, legislators should include provisions regarding the acceptable level of publicity and discourage any breach of confidentiality.	ブロックチェーンの使用がEUや加盟国の法律で義務付けられている場合、立法者は許容される公表レベルに関する規定を盛り込み、守秘義務違反を阻止すべきである。
Recommendation 7. Software Vulnerabilities	提言 7. ソフトウェアの脆弱性
The EDPB recommends setting out technical and organisational procedures to disclose software vulnerabilities to all participants, including an emergency plan that allows algorithms to be changed when a vulnerability is identified and to notify security incidents and personal data breaches to the relevant SAs, and to communicate the incident to the involved data subjects	EDPBは、ソフトウェアの脆弱性を全参加者に開示するための技術的・組織的手順（脆弱性が特定された場合にアルゴリズムを変更できるようにする緊急プランを含む）を定め、セキュリティインシデントや個人データ漏えいを関連するSAに通知し、インシデントを関係するデータ対象者に伝えることを提言する。
Recommendation 8. Governance	提言 8. ガバナンス
The governance of changes to the software used to create transactions and to create and validate blocks should be documented and technical and organisational procedures should be set out to ensure an alignment between specification and implementation.	トランザクションの作成、およびブロックの作成と妥当性確認に使用されるソフトウエアの変更のガバナン スは文書化されるべきであり、また、仕様と実施との間の整合性を確保するための技術的・組織的手順が定められるべきである。
Recommendation 9. Consent	提言 9. 同意
If any use of the consent legal basis is made, it must be ensured that it is freely given and that the data subject is able to refuse or withdraw consent without detriment. Technical choices for the implementation of the processing should ensure these two points. In particular, this requires that no personal data is stored on the blockchain that cannot be rendered anonymous by the erasure of offchain data and an effective procedure for assuring such erasure in the case of withdrawal of consent is implemented. Consent should not be used for a processing which requires transactions with individuals if the blockchain architecture does not provide a way to delete the personal data regarding the parties in a transaction.	同意の法的根拠を使用する場合は、それが自由に与えられ、データ対象者が不利益を被ることなく同意を拒否または撤回できることを保証しなければならない。処理実施のための技術的選択は、この2点を保証するものでなければならない。特に、オフチェーンデータの消去によって匿名化できない個人データがブロックチェーン上に保存されないこと、および同意撤回時にそのような消去を保証する効果的な手順が実装されていることが必要である。ブロックチェーンアーキテクチャが取引当事者に関する個人データを消去する方法を提供しない場合、同意を個人との取引を必要とする処理に用いるべきではない。
Recommendation 10. Data protection by design and by default	提言10.デザインとデフォルトによるデータ保護
All data protection principles should be included by design and by default in any processing from the outset and throughout the processing life cycle. All processing operations need to be necessary and proportionate in relation to the purposes of processing.	すべてのデータ保護の原則は、当初から処理ライフサイクル全体を通じて、あらゆる 処理に設計上およびデフォルトで含まれるべきである。すべての処理業務は、処理の目的に照らして必要かつ適切でなければならない。
By default, personal data should not be made accessible on a public blockchain without the data subject’s intervention.	デフォルトでは、データ対象者の介入なしにパブリック・ブロックチェーン上で個人データにアクセスできるようにすべきではない。
Recommendation 11. Data retention – duration	提言 11.データ保持 - 期間
The data retention period of metadata, such as users’ identifiers, and payload should be established pursuant to Art. 17 in conjunction with Art. 25(1) GDPR and taken into account when deciding which kind of blockchain and which format to store those data to use.	ユーザの識別子やペイロードなどのメタデータのデータ保持期間は、GDPR第17条と第25条第1項に従って定められ、これらのデータを使用するためのブロックチェーンの種類および保存形式を決定する際に考慮されるべきです。
In cases where a data retention period is not as long as the lifetime of the blockchain, a technical solution should guarantee the appropriate data retention period. At the end of the retention period for personal data stored on the blockchain, this solution should either allow for data deletion or, if applicable, render the data anonymous. If such solution does not exist, then no personal data should be stored on the chain.	データ保持期間がブロックチェーンの寿命ほど長くない場合、技術的ソリューションは適切なデータ保持期間を保証すべきである。ブロックチェーンに保存された個人データの保存期間が終了した時点で、このソリューションはデータの削除を可能にするか、場合によってはデータの匿名化を行うべきである。そのようなソリューションが存在しない場合は、個人データをチェーン上に保存すべきではない。
Recommendation 12. Security – Evaluation	提言 12.セキュリティ - 評価
Carry out an evaluation of the security safeguards necessary to assure the security of the blockchain appropriate to the risks.	リスクに見合ったブロックチェーンのセキュリティを確保するために必要なセキュリティ保護措置の評価を実施する。
Recommendation 13. Security – Limit the impact of algorithm failure	提言13.セキュリティ - アルゴリズムの失敗による影響を抑える
Set out technical and organisational procedures to limit the impact of a potential algorithm failure (as an attack on one of the cryptographic primitives used in the blockchain).	ブロックチェーンで使用される暗号プリミティブの1つに対する攻撃として）潜在的なアルゴリズム障害の影響を抑えるための技術的・組織的手順を定める。
Recommendation 14. Security – Governance of evolution	提言 14.セキュリティ - 進化のガバナンス
The governance of software and protocol evolution should be documented.	ソフトウェアとプロトコルの進化のガバナンスは文書化されるべきである。
Recommendation 15. Security – Confidentiality	提言 15.セキュリティ - 機密保持
Whenever it is not necessary for the purposes of the processing, that a public blockchain is used for, then the measures need to be implemented to limit accessibility of the blockchain and ensure the blockchain’s confidentiality. Those measures should be documented and verified.	パブリック・ブロックチェーンが使用される処理の目的に必要でない場合は、ブロックチェーンへのアクセスを制限し、ブロックチェーンの機密性を確保するための措置を実施する必要がある。それらの措置は文書化され、検証されるべきである。
Recommendation 16. Data subjects’ rights	提言 16.データ対象者の権利
Data subjects’ rights cannot be restricted – neither by choice of technical implementation nor by the data subjects’ consent. They must be fulfilled in accordance with the GDPR. Technical choices for the implementation of the processing should ensure this. In particular, personal data needs to be erased or rendered anonymous in the event of an objection to processing pursuant to Art. 21 GDPR or a request for erasure pursuant to Art. 17 GDPR.	データ主体の権利は、技術的実装の選択やデータ主体の同意によって制限されることはない。これらはGDPRに従って履行されなければならない。処理の実装のための技術的選択は、これを確実にする必要がある。特に、GDPR第21条に基づく処理に対する異議申し立てや、GDPR第17条に基づく削除要求があった場合、個人データは削除されるか匿名化される必要がある。