| Report on stakeholder event on anonymisation and pseudonymisation of 12 December 2025 |
2025年12月12日開催の匿名化及び仮名化に関するステークホルダーイベント報告書 |
| 1. Background |
1. 背景 |
| The EDPB organised a remote stakeholder event on 12 December 2025 to collect stakeholders’ input on anonymisation and pseudonymisation, following the Court of Justice of the European Union (“CJEU”) judgment in case EDPS v SRB[1]. The objective was to engage with stakeholders to inform the EDPB’s ongoing work on its guidelines 01/2025 on pseudonymisation and forthcoming guidelines on anonymisation. |
欧州データ保護委員会(EDPB)は、欧州連合司法裁判所(CJEU)によるEDPS対SRB事件[1]の判決を受け、2025年12月12日に匿名化及び仮名化に関するステークホルダーの意見収集を目的としたリモートイベントを開催した。目的は、ステークホルダーと対話し、仮名化に関するガイドライン01/2025および匿名化に関する今後のガイドライン策定に向けたEDPBの継続的な作業に情報を提供することである。 |
| The target audience was the general public, with a focus on sector associations, NGOs, individual companies, law firms and academics. Participants were provided with a Discussion paper published prior to the event[2]. Participants were divided in four break-out rooms and all of them were able to share their views on four questions presented in the Discussion paper. |
対象者は一般市民であり、特に業界団体、NGO、個別企業、法律事務所、学者を重点的に対象とした。参加者には事前に公開されたディスカッションペーパー[2]が配布された。参加者は4つの分科会に分かれ、ディスカッションペーパーに記載された4つの質問について意見を共有した。 |
| This report aims to summarise the main ideas and issues raised by participants, acknowledging that some topics were discussed in response to multiple questions. While the views expressed during the event and reflected in this report will inform the EDPB’s work, the Board remains free to determine if and how perspectives shared will be incorporated in its future guidelines. |
本報告書は、複数の質問への回答として議論されたテーマもあることを認識しつつ、参加者から提起された主な意見と課題を要約することを目的とする。本イベントで表明され本報告書に反映された見解は欧州データ保護委員会(EDPB)の作業に資するものとなるが、同委員会は共有された見解を将来のガイドラインに組み込むか否か、またその方法を自由に決定する権限を有する。 |
| 2. Amount and nature of contributions received |
2. 受領した意見の量と性質 |
| Total number of participants: 115 |
参加者総数:115名 |
| Number of participants by category: |
カテゴリー別参加者数: |
Business association/ company 61
NGO/ consumer organisation 8
Academia 14
Law office 17
Public sector 7
Other (e.g. professional association, research organisation, think tank) 8
|
企業団体/会社61
NGO/消費者団体8
学術機関14
法律事務所17
公共部門7
その他(例:専門職団体、研究機関、シンクタンク)8 |
| 3. Main outcomes of the public consultation |
3. 公開協議の主な結果 |
| Question 1: According to the Court, the relevant perspective for assessing identifiability depends, in essence, on the circumstances of each individual case[3] . Based on your experience, what are the use cases where further guidance could be beneficial regarding the contextual assessment of the relevant perspective(s)? Further, are there any specific GDPR provisions which pose particular challenges for this assessment? For example, what open questions remain in practice considering different roles in processing, e.g. controller-processor relationship, joint controllership? |
質問1: 裁判所によれば、識別可能性を評価する上で関連する視点は、本質的に個々の事案の状況に依存する[3]。経験に基づき、関連する視点の文脈的評価に関してさらなるガイダンスが有益と考えられるユースケースは何か。さらに、この評価において特に課題となるGDPRの規定はあるか。例えば、処理における異なる役割(管理者-処理者関係、共同管理者など)を考慮した場合、実務上どのような未解決の問題が残っているか。 |
| Participants highlighted the need for further guidance on the controller-processor relationship, with differing opinions on the relevant perspective for assessing identifiability in this scenario. Some advocated for considering only the specific “processor's” perspective, suggesting data could be deemed anonymous if effective pseudonymisation is applied and an appropriate assessment done by the controller concludes that the data subjects could not be re-identified by that “processor”. They urged to provide clear guidance on how to achieve this. Others disagreed emphasising that processors act on behalf of controllers and therefore the perspective of the controller should also apply to them. Some argued that the relevant GDPR provisions always require the assessment from the side of the controller. A specific use case where an organisational unit of the controller is acting as a processor was also mentioned. |
参加者らは、管理者と処理者の関係性に関する追加ガイダンスの必要性を強調し、このシナリオにおける識別可能性評価の適切な視点について意見が分かれた。一部は「処理者」の視点のみを考慮すべきと主張し、効果的な仮名化が適用され、管理者が適切な評価を行い「処理者」によるデータ主体の再識別が不可能と判断された場合、データは匿名化とみなせると示唆した。彼らはこれを達成する方法について明確なガイダンスを提供するよう求めた。他方、処理者は管理者の代理として行動するため、管理者の視点も適用されるべきだと反論する意見もあった。GDPRの関連規定は常に管理者側の評価を要求すると主張する者もいた。管理者の組織単位が処理者として機能する具体的な事例も言及された。 |
| Many participants underlined the need for clarity regarding the necessity to conclude data processing agreements between the controller and a “processor”, in particular when the party receiving the data would not have the means reasonably likely to be used to identify the data subjects. Some participants considered that controllers might rely on contractual obligations to prevent re-identification, noting limited visibility into processors’ identification methods. Others however cautioned against over-reliance on contracts only. |
多くの参加者は、特にデータ受領者がデータ主体を識別するために合理的に使用されうる手段を持たない場合、管理者と「処理者」間のデータ処理契約締結の必要性について明確化が必要だと強調した。一部の参加者は、処理者の識別手法に対する可視性が限られていることを指摘し、管理者が再識別防止のために契約上の義務に依存する可能性があると考えた。しかし他の参加者らは、契約のみへの過度の依存に対して警鐘を鳴らした。 |
| Additional guidance was also sought for joint controllership scenarios and controller to controller/ third-party data sharing, with complexities arising from varying access to data / data sets and identification capabilities among parties. Several participants requested clarity on assigning responsibilities and using contractual obligations to manage risks. Some suggested that not all parties involved should bear the same level of responsibilities. A scenario lacking contractual links was also flagged as problematic in that context. |
共同管理者シナリオや管理者間/第三者間データ共有についても追加ガイダンスが求められた。当事者間でデータ/データセットへのアクセス権や識別能力が異なることから複雑性が生じるためである。複数の参加者が、責任の割り当てや契約上の義務を用いたリスク管理について明確化を要請した。全ての関係者が同等の責任を負うべきではないとの提案もあった。契約上の繋がりを欠くシナリオも、この文脈では問題があると指摘された。 |
| Challenges were noted in assessing changes over time, for example due to subsequent data sharing, mixing of data sets/ generation of new data, changes in roles of processing or new information becoming available. |
時間の経過に伴う変化の評価には課題があるとされた。例えば、その後のデータ共有、データセットの混合/新規データの生成、処理の役割変更、新たな情報の入手などが原因となる。 |
| Concrete examples requiring guidance included research and research consortiums, in particular in health, clinical trials and online advertising. In the context of online advertising, there was debate over online identifiers as personal data, with some participants asking EDPB to reconsider the singling out criterion while others insisted that such identifiers are personal data as they allow to take action on individuals, i.e. targeting advertising. |
ガイダンスを必要とする具体的な事例として、研究及び研究コンソーシアム(特に医療、臨床試験、オンライン広告分野)が挙げられた。オンライン広告の文脈では、オンライン識別子が個人データに該当するか否かについて議論があった。一部の参加者は特定基準の再考をEDPBに要請した一方、他の参加者は「個人への行動(広告ターゲティング)を可能にする」として識別子が個人データであると主張した。 |
| Guidance was also requested for intra-group data sharing and clarification on the role of data trustees or trusted third parties. |
グループ内データ共有に関するガイダンスや、データ受託者・信頼できる第三者の役割の明確化も求められた。 |
| GDPR provisions causing difficulties included Articles 6, 28, 32-34, and Chapters III and V. Some participants highlighted the role of Article 11 GDPR and suggested revisiting the EDPB’s position on this Article as expressed in its pseudonymisation guidelines. They also debated the need for a separate legal basis under Article 6 for transmission of data after pseudonymisation or for anonymisation of data. |
GDPRの規定で困難が生じているのは、第6条、第28条、第32条から第34条、および第III章と第V章である。一部の参加者はGDPR第11条の役割を強調し、仮名化ガイドラインで示されたEDPBの同条に関する見解の再検討を提案した。また、仮名化後のデータ伝送やデータ匿名化について、第6条に基づく別途の法的根拠の必要性も議論された。 |
| Participants requested clear and practical guidance, including suggestions for a concrete methodology rather than case-focused advice, cautioning against generalisation. It was noted that the contextual assessment will be in practice very burdensome, especially for smaller organisations. Some argued that it should be possible to assess if the data is personal or not without considering the roles in data processing. Opinions varied on whether the identifiability assessment should take into account only legal means. Some stakeholders insisted that the identifiability assessment should be principles based and take into account proportionality and risk, while others highlighted the importance of consequences for data subjects and that their rights should not be undermined. |
参加者は、事例中心の助言ではなく具体的な方法論の提案を含む、明確かつ実践的なガイダンスを求め、一般化を戒めた。文脈に基づく評価は、特に小規模組織にとって実際には非常に負担が大きいと指摘された。データ処理における役割を考慮せずに、データが個人データか否かを評価できるべきだと主張する者もいた。識別可能性の評価において法的手段のみを考慮すべきか否かについては意見が分かれた。一部の利害関係者は、識別可能性評価は原則に基づき、比例性とリスクを考慮すべきだと主張した。他方、データ主体への影響の重要性を強調し、その権利が損なわれるべきではないと指摘する者もいた。 |
| Question 2: According to the case law[4], a controller may need to assess the means of identification available through a transmission of the data in question to third parties. In relation to this, the data could possibly change its nature (e.g. data considered anonymous could become personal) due to (potential) transmissions between different parties, which may also have consequences for the initial controller. Which types of use cases (e.g. connected with third country transfers, publication to the general public) present practical challenges to ascertain the presence or absence of means of indirect identification? Which kind of measures could controllers take to recognise the presence of such means? |
質問2:判例[4]によれば、管理者は、当該データを第三者に伝送する際に利用可能な識別手段を評価する必要がある場合がある。これに関連し、異なる当事者間の(潜在的な)伝送により、データの本質が変化する可能性がある(例:匿名とみなされていたデータが個人データとなる)。これは当初の管理者にも影響を及ぼし得る。間接的な識別手段の有無を確認する上で、どのようなユースケース(例:第三国への移転、一般公衆への公開に関連するもの)が実務上の課題となるか?管理者は、そのような手段の存在を認識するためにどのような措置を講じることができるか? |
| Many participants considered that “potential transmissions” refer to actual or foreseeable transmissions and not theoretical transmissions. |
多くの参加者は、「潜在的な伝達」とは、理論上の伝達ではなく、実際の、または予見可能な伝達を指すと考えている。 |
| In discussing the case law, they emphasised the CJEU requirement for a circumstantial assessment, advising the EDPB to consider concrete cases (like OC v Commission (C-479/22 P), Scania (C-319/22) and Breyer (C-582/14)) carefully based on their specific factual circumstances without overgeneralisation. |
判例法に関する議論では、欧州司法裁判所(CJEU)が状況に応じた評価を求めている点を強調し、欧州データ保護委員会(EDPB)に対し、OC対欧州委員会事件(C-479/22 P)、スカニア事件(C-319/22)、ブライヤー事件(C-582/14)などの具体的事例を、過度に一般化せず、それぞれの事実関係に基づいて慎重に検討するよう助言した。 |
| Stakeholders agreed on the need for greater legal certainty but differed on achieving it. Some advocated for a toolbox or a clear list of criteria for identifiability assessment. Others argued that organisations should be able to make predictable/reasonably foreseeable decisions based on a list of factors and measures. Others cautioned against a check list approach and/or suggested a principles-based assessment. One idea was to include a reasonableness test or a specific methodology for such assessment in DPIAs. Some stakeholders suggested to define common assessment criteria applicable to all sectors, while others asked the EDPB to issue sector-specific guidance. |
関係者は法的確実性の向上が必要である点では合意したが、その達成方法については意見が分かれた。識別可能性評価のためのツールボックスや明確な基準リストを提唱する者もいれば、組織が要因と措置のリストに基づいて予測可能/合理的に予見可能な決定を下せるべきだと主張する者もいた。また、チェックリスト方式への警戒や原則に基づく評価を提案する声もあった。具体的な案として、DPIAに合理性テストや特定の手法を組み込むことが挙げられた。全セクターに適用可能な共通評価基準の定義を求める意見がある一方、EDPBにセクター別ガイダンスの発行を求める意見もあった。 |
| For assessing whether the recipient is getting personal data, a layered approach considering data type and recipient use of data, alongside technological aspects, was suggested. In addition, the state of the art and the specific circumstances of each case should be considered. Some referred to the utility of data as a relevant factor. |
個人データ受領者の評価については、データの種類や受領者のデータ利用方法を技術的側面と併せて考慮する階層的アプローチが提案された。加えて、技術水準や各事例の具体的状況も考慮すべきだ。データの有用性を関連要因として挙げる意見もあった。 |
| Several participants urged to consider proportionality and focus on higher-risk scenarios rather than fringe cases with minimal re-identification risk. |
複数の参加者は、比例性の考慮と、再識別リスクが最小限の周辺事例ではなく、よりリスクの高いシナリオに焦点を当てるよう強く求めた。 |
| The burden of proof was also debated, with concerns. Some noted that the controller or the transmitting party cannot be presumed to know all capabilities of receiving parties/ entire value chain, especially when it comes to further/ multiple transmissions. However, other stakeholders recalled the accountability principle applicable to the controller. Avoiding loopholes in responsibility was highlighted. |
立証責任についても懸念を伴う議論が行われた。管理主体または送信側が、受領側/バリューチェーン全体の全能力を把握していると推定できない点、特に二次/多重転送の場合にそれが当てはまるとする意見があった。しかし他の利害関係者は、管理主体に適用される説明責任の原則を想起した。責任の抜け穴を回避することが強調された。 |
| Several participants considered contractual clauses as an important element in the identifiability assessment, for example, to put in place measures to ensure that the data is used as intended by the transmitting party, even there the data is considered to be nonpersonal. Others, however, noted limitations of contractual measures, especially in cases of asymmetry, e.g. in terms of market power or information, between different parties. Also, some participants raised the need to include in contracts third party beneficiary clauses. |
複数の参加者は、識別可能性評価における重要な要素として契約条項を挙げた。例えば、データが非個人データとみなされる場合でも、送信者の意図通りに使用されることを保証する措置を設けることなどである。しかし他方では、契約上の措置には限界があると指摘する声もあった。特に市場力や情報など、当事者間の非対称性が存在するケースでは顕著である。また、契約に第三者受益者条項を含める必要性を指摘する参加者もいた。 |
| Regarding transfers to third countries, participants asked to clarify the obligations incumbent on controllers with differing views on the impact for the identifiability assessment. Some noted that an international transfer does not affect identifiability, and some stakeholders stressed that Chapter V GDPR should always apply when pseudonymous data are transferred. It was also reminded that, even when an adequacy decision exists, there could be access to data by law enforcement authorities and some participants considered that this should not impact the identifiability assessment. |
第三国への移転に関しては、識別可能性評価への影響について見解が分かれる中、管理者に課される義務の明確化が求められた。国際移転は識別可能性に影響しないと指摘する者もいれば、仮名化データが移転される場合には常にGDPR第V章が適用されるべきだと強調する関係者もいた。また、十分性認定が存在する場合でも、法執行機関によるデータアクセスが可能な点も指摘され、一部の参加者はこれが識別可能性評価に影響を与えるべきではないと考えた。 |
| Stakeholders also requested clarifications on various examples, for instance, related to research, statistics, clinical trials, health data sharing, online advertising and situations of joint controllerships. Examples where data is published were also mentioned, however, there were different views on how the publication impacts the identifiability assessment. |
ステークホルダーは、研究、統計、臨床試験、健康データ共有、オンライン広告、共同管理者の状況など、様々な事例に関する明確化も求めた。データの公開事例も言及されたが、公開が識別可能性評価に与える影響については異なる見解があった。 |
| Some participants suggested greater accessibility and incentives for GDPR certification or codes of conducts and recommended considering other digital regulations, such as the Data Act and the European Health Data Space, as well as the Digital Markets Act (DMA), having in mind that they also refer pseudonymisation or anonymisation. |
一部の参加者は、GDPR認証や行動規範へのアクセス性向上とインセンティブ強化を提案し、データ法や欧州健康データ空間、デジタル市場法(DMA)など他のデジタル規制も考慮すべきだと推奨した。これらも擬似匿名化や匿名化に言及している点を踏まえてのことである。 |
| Finally, some referred to examples from other jurisdictions, e.g. Health Insurance Portability and Accountability Act (HIPAA) which includes the notion of “limited data sets”, or existing practical guidance on identifiably, e.g. from ISO and data protection authorities of Canada and Singapore. |
最後に、他の法域の事例が言及された。例えば「限定データセット」の概念を含む医療保険の携行性と責任に関する法律(HIPAA)、あるいはISOやカナダ・シンガポールのデータ保護当局による識別可能性に関する既存の実務指針などである。 |
| As a general remark, it was noted that consistent and correct terminology should be used, i.e. the GDPR terminology should be avoided if no personal data is involved. |
一般的な指摘として、一貫した正確な用語の使用が求められる。すなわち、個人データが関与しない場合にはGDPR用語の使用を避けるべきだ。 |
| Question 3: The Court emphasised the restriction of the analysis to means reasonably likely to be used by the controller or another person[5]. Circumstances determine which means are ‘reasonably likely’ to be used. What kind of measures can a controller implement to limit the means ‘reasonably likely’ to be used? How can this be done in the case of subsequent transmissions by intended recipients to third parties who may be able to identify the data subject? |
質問3:裁判所は、分析の対象を「管理者または他の者が合理的に使用すると見込まれる手段」に限定することを強調した[5]。状況によって「合理的に使用されると見込まれる」手段は異なる。管理者は、どのような措置を講じて「合理的に使用されると見込まれる」手段を制限できるか?意図された受領者による、データ主体を特定可能な第三者への二次的な転送の場合、これをどう実現できるか? |
| Stakeholders considered that the concept of “means reasonably likely to be used” (“MRLTBU”), as well as all the relevant concepts need to be sufficiently and clearly defined, by also taking into account the previous case-law of the CJEU and the role of different participants in the data chain. |
関係者は、「合理的に使用される可能性のある手段」(MRLTBU)の概念、および関連する全ての概念が、欧州司法裁判所の過去の判例やデータチェーンにおける各参加者の役割も考慮しつつ、十分かつ明確に定義される必要があると考えられた。 |
| When discussing MRLTBU, they identified different categories of measures: legal (including contractual), organisational and technical. These measures are complementary and equally important. Participants referred to a range of measures, including data processing agreements, audits, access restrictions, and privacy enhancing technologies (PETs) such as trusted execution environments. Most participants recognised the usefulness of the PETs but agreed that they are not sufficient and do not remove the (personal) data from the scope of the data protection legislation. In this regard, some participants requested the EDPB to include concrete examples of PETs that can be relied upon. It was suggested that tokenisation, encryption, hashing techniques and data masking deserve attention. Others recommended to rely on a case-by-case assessment of MRLTBU, avoiding overly prescriptive but instead reflecting the state of the art. |
MRLTBUの議論において、彼らは法的(契約を含む)、組織的、技術的という異なるカテゴリーの措置を特定した。これらの措置は相互補完的であり、同等に重要である。参加者らは、データ処理契約、監査、アクセス制限、信頼できる実行環境などのプライバシー強化技術(PETs)を含む様々な措置に言及した。大半の参加者はPETsの有用性を認めつつも、それだけでは不十分であり、(個人)データをデータ保護法の適用範囲から除外できない点で合意した。この点に関し、一部の参加者はEDPBに対し、信頼できるPETsの具体例を明記するよう要請した。トークン化、暗号化、ハッシュ技術、データマスキングが注目に値すると提案された。他方、MRLTBU(最小限のリスクを伴う技術的・組織的措置)のケースバイケース評価に依拠し、過度に規範的ではなく技術水準を反映すべきとの意見も出た。 |
| Many participants considered that the means envisaged should always be lawful, proportionate and foreseeable. Several stakeholders took the view that purely hypothetical and speculative threats, and illegal attacks (such as hacker attacks) should be excluded from the assessment. Others, to the contrary, pointed out that hacker attacks cannot be disregarded. It was emphasised that while the assessment of the MRLTBU should be adapted to the context, it should be based on objective, well-defined factors. In this regard, several participants drew attention to Recital 26 GDPR which already provides valuable guidance. Several participants highlighted that the assessment should also factor in, for instance, auxiliary datasets, data brokers, public registers and commercial enrichment services, not only isolated datasets. It was stated that a range of factors should be taken into account, including data retention limits, technical means for identification, time, cost, computing power, contractual barriers, access and retention controls, data metrics and potential access in the transmission chain, having regard to both the controller and other relevant third parties. Some stakeholders emphasised that the guidelines should clearly set out the safeguards and clarify the terminology used. They also noted that the assessment of the means should not rely on the promises of future developments. |
多くの参加者は、想定される手段は常に合法的、比例的、かつ予測可能であるべきと考えた。複数の利害関係者は、純粋に仮定的・推測的な脅威や違法な攻撃(ハッカー攻撃など)は評価対象から除外すべきとの見解を示した。これに対し、ハッカー攻撃を無視できないと指摘する参加者もいた。MRLTBUの評価は状況に応じて適応させるべきだが、客観的で明確に定義された要素に基づくべきだと強調された。この点に関して、複数の参加者はGDPRの序文26が既に有益な指針を提供していると指摘した。また、評価では単体のデータセットだけでなく、補助データセット、データブローカー、公的登録簿、商業的エンリッチメントサービスなども考慮すべきだと複数の参加者が強調した。データ保持期間、識別技術、時間、コスト、計算能力、契約上の障壁、アクセス・保持管理、データ指標、伝送チェーンにおける潜在的アクセスなど、管理者と関連第三者の双方を考慮した多様な要素を勘案すべきだとされた。一部の利害関係者は、ガイドラインが保護措置を明確に規定し、用語を明確化すべきだと強調した。また、手段の評価は将来の開発計画の約束に依存すべきではないとも指摘した。 |
| While some stakeholders would like the EDPB to explain the steps and content of the assessment of MRLTBU, others argued that the EDPB should not be too prescriptive and leave some leeway to the business. The need for practical, not theoretical, guidelines on MRLTBU was raised, with stakeholders welcoming examples of lawful practice. |
一部の利害関係者は、EDPBがMRLTBU評価の手順と内容を説明することを望んでいる一方、他の関係者はEDPBが過度に規範的になるべきではなく、事業者に一定の裁量権を残すべきだと主張した。MRLTBUに関する理論的ではなく実践的なガイドラインの必要性が提起され、利害関係者は合法的な実践例の提示を歓迎した。 |
| Many participants agreed that controllers have the main responsibility in line with the accountability principle, while advocating for a fair liability distribution among processing chain actors, given the complexity of situations and processing chains involved. Some insisted on reconciling the accountability principle with what is realistic and feasible in practice. |
多くの参加者は、状況や処理チェーンの複雑さを考慮し、処理チェーンの主体間で公平な責任分担を提唱しつつ、説明責任の原則に沿って管理者が主たる責任を負う点で合意した。一部は、説明責任の原則と実務上現実的・実現可能な措置との調和を強く求めた。 |
| Next, several stakeholders stressed that the nature of the personal data itself should also be considered (it was noted that the EDPS v SRB case is very particular in this regard). In some cases, the data may be highly detailed and precise, resulting in a high risk of re-identification; in other cases, the nature of the data means the likelihood of re-identification is very low. |
次に、複数の関係者は個人データそのものの性質も考慮すべきだと強調した(この点でEDPS対SRB事件が極めて特殊であることが指摘された)。データが極めて詳細かつ正確な場合、再識別リスクが高くなる。一方で、データの性質上、再識別可能性が極めて低いケースも存在する。 |
| Finally, some participants flagged that the EDPB should reflect on the specific needs of SMEs and NGOs. |
最後に、一部の参加者は、EDPBが中小企業(SME)や非政府組織(NGO)の特異なニーズを考慮すべきだと指摘した。 |
| Question 4: In your experience, in which use cases would a controller processing data that has undergone pseudonymisation (pseudonymised data) have problems in deciding whether they are personal for a given recipient? What would be technical and organisational means that the pseudonymising controller could apply and that a recipient could not lift?[6] |
質問4:あなたの経験において、擬似匿名化処理を施したデータ(擬似匿名化データ)を処理する管理者が、特定の受領者に対してそれが個人情報であるか否かの判断に困難を抱える使用事例は何か。擬似匿名化処理を実施した管理者が適用可能であり、かつ受領者が解除できない技術的・組織的手段とは何か?[6] |
| Two main types of use cases were discussed. |
主に2種類の使用事例が議論された。 |
| The first type involved challenges in identifying all recipients and assessing their means. This included cases where recipients-processors use sub processors covered by business secret; when recipients are not known in advance and change over time; where receiving parties are very stratified, like in consortium or in online advertising; where some recipients have contracts (unknown to the controller) with other organisations regarding data that, once linked with the received pseudonymised data, could be cross-referenced and change the identifiability of the shared data set; when there is a major asymmetry of means or knowledge between the controller and the eventual recipients, with large providers (or cloud / AI providers) having substantial re-identification capacities. For such use cases, several participants underlined that the lack of knowledge should not be used as an excuse to ignore or overlook risks and that data transferred should be presumed personal data for the recipient unless anonymity is proven and documented. |
第一のタイプは、全ての受領者を特定し、その手段を評価することの難しさに関わる。これには以下のようなケースが含まれる:- 受領者(処理者)が営業秘密に守られた下請け処理業者を利用する場合- 受領者が事前に特定できず、時間とともに変化する場合- 受領者がコンソーシアムやオンライン広告のように高度に階層化されている場合- 一部の受領者が(管理者に知られずに)他の組織と契約を結んでおり、受領した擬似匿名化データとリンクされた際に相互参照され、共有データセットの識別可能性が変化する可能性がある場合 管理者と最終的な受領者間で手段や知識に大きな非対称性が存在する場合、大規模プロバイダー(またはクラウド/AIプロバイダー)が実質的な再識別能力を有する場合も含まれる。こうしたユースケースについて、複数の参加者は、知識不足をリスクを無視または見過ごす言い訳にしてはならず、匿名性が証明され文書化されない限り、転送されたデータは受領者にとって個人データと推定されるべきだと強調した。 |
| The second type focused on complexities related to the data themselves either because of the complexity of the data set or because of the technicity of the data. One such example was the identifiability of genetic data for different kinds of recipients, another one related to additional information being broadly available. |
第二のタイプは、データ自体の複雑性に焦点を当てた。これはデータセットの複雑さによる場合もあれば、データの技術的性質による場合もある。一例として、異なる種類の受領者に対する遺伝子データの識別可能性が挙げられ、別の例では追加情報が広く入手可能である点が関連していた。 |
| While opinions varied on technical and organisational measures a pseudonymising controller might apply, all agreed that no zero-risk solution exist, and that open-ended situations (that might equal to public disclosure) require a higher resistance to re-identification. Some participants expressed that various ways of identifying a data subject exist as soon as some singling out is possible, and that they consider that the EDPS v SRB case only open the possibility of pseudonymised data to be anonymous but that those case will be extremely rare. |
擬似匿名化を実施する管理者(コントローラー)が適用し得る技術的・組織的措置については意見が分かれたものの、ゼロリスクの解決策は存在せず、公開開示に等しい可能性のある開放的な状況では、再識別に対するより高い耐性が求められる点で全員が合意した。一部の参加者は、何らかの選別が可能であればデータ主体の識別方法は複数存在し、EDPS対SRB事件は擬似匿名化データの匿名化可能性を示したに過ぎず、そのような事例は極めて稀だと述べた。 |
| Regarding organisational measures, participants discussed what “cannot be lifted with reasonable means to be used” should entail. Some stated that policy or contract might suffice while some others considered contractual clauses might be lifted by laws or renegotiations. They then mentioned different measures of policy, contract and law: strict access control, oversight of secondary use, contractual obligation to notify controller of further sharing, contractual prohibition to attempt reidentification or to compare data against other data sets, NDAs but also legal obligations of specific actors. Finally, they insisted on the importance of a robust audit framework, which might include third-party audits, and regular re-evaluation every 2 to 3 years. |
組織的措置に関しては、「合理的な手段で解除できない」要件の内容が議論された。方針や契約で十分だとする意見がある一方、契約条項は法律や再交渉で解除されうるとの見解もあった。その後、方針・契約・法律に基づく様々な措置が挙げられた:厳格なアクセス制御、二次利用の監視、追加共有時の管理者への通知義務、再識別試行や他データセットとの比較禁止、秘密保持契約(NDA)、特定主体への法的義務などである。最後に、第三者監査や2~3年ごとの定期的な再評価を含む堅牢な監査枠組みの重要性を強調した。 |
| Participants shared multiple technical measures, including (homomorphic or classical) encryption with proper key management, multi-party computation, tokenisation, PETs synthetic data generation, classical anonymisation techniques, AI model as a form of pseudonymisation technique, APIs, data clean rooms as well as various classical security measures. On the contrary, some participants advised against overlooking quasi-identifier or of a naive use of hashing functions. Finally, emphasising core GDPR principles, they highlighted proper data minimisation and deletion of any unnecessary information. |
参加者は複数の技術的対策について共有した。適切な鍵管理を伴う(同型または従来型)暗号化、マルチパーティ計算、トークン化、PETs合成データ生成、従来型匿名化技術、擬似匿名化手法としてのAIモデル、API、データクリーンルーム、そして様々な従来型セキュリティ対策などである。一方で、準識別子の見落としやハッシュ関数の安易な使用には注意すべきだと助言する参加者もいた。最後に、GDPRの中核原則を強調し、適切なデータ最小化と不要情報の削除を重要視した。 |
| From a technical point of view, participant asked for guidance on how to use those techniques properly, especially regarding PETs, key management or resistance to quantum computing, and defining clear thresholds. |
技術的観点から、参加者はこれらの技術を適切に活用する方法、特にPETs、鍵管理、量子コンピューティングへの耐性、明確な閾値設定に関するガイダンスを求めた。 |
| Participants also inquired about the extent to which they should anticipate the future. In particular, they asked whether they should anticipate (and how to react) in the case of a personal data breach at a (sub)recipient, where data was assumed anonymous for them. |
参加者は将来をどの程度予測すべきかも質問した。特に、(下位)受領者において個人データ侵害が発生した場合(当該受領者にとっては匿名化済みと想定されるデータ)に、事前に想定すべきか(またどう対応すべきか)について質問があった。 |
| Additionally, participants raised a need of general clarification regarding the terminology, the notion of pseudonymisation domain, as well as on the interaction between “singling out” and “identification”, with no consensus on whether one implies the other. |
さらに、用語の一般的な明確化、擬似匿名化領域の概念、および「特定」と「識別」の相互関係(一方が他方を必然的に含意するか否かについて合意が得られていない)に関する必要性が提起された。 |
| |
|
| [1] Judgment of 4 September 2025 in case C-413/23 P European Data Protection Supervisor (EDPS) v Single Resolution Board (SRB) (“EDPS v SRB judgment”). |
[1] 2025年9月4日付判決 C-413/23 P 欧州データ保護監督官(EDPS)対単一解決委員会(SRB)事件(「EDPS対SRB判決」) |
[2] The Discussion paper and background information, e.g. about the registration process and criteria for the selection of participants, are available here: [web]
|
[2] ディスカッションペーパー及び背景情報(登録プロセスや参加者選定基準など)は以下で入手可能:[web] |
| [3] 3 EDPS v SRB judgment, paragraphs 100–111. |
[3] 3 EDPS対SRB判決、パラグラフ100–111。 |
| [4] C-319/22 Gesamtverband Autoteile-Handel v Scania, paragraph 49; EDPS v SRB judgment, paragraphs 84–85. |
[4] C-319/22 Gesamtverband Autoteile-Handel 対 Scania 判決、49項;EDPS 対 SRB 判決、84~85項。 |
| [5] EDPS v SRB judgment, paragraphs 79–85. |
[5] EDPS 対 SRB 判決、79~85項。 |
| [6] EDPS v SRB judgment, paragraph 77. |
[6] EDPS 対 SRB 判決、77項。 |
Recent Comments