著者:マリオ・シャイ・アグアド・ゴンサレス | 個人情報保護と人工知能
企業の間では、顧客、従業員、取引先、あるいはその他のデータ主体のデータが自社のシステムに保存された時点で、個人データ保護に関する義務が発生するという考えが広く浸透しています。
しかし、その考えは誤りであり、スペイン最高裁の判決もそれを裏付けている。
この判決はメキシコ法に基づくものではありませんが、その論旨は、メキシコで事業を展開し、「個人保有データ保護に関する連邦法(LFPDPPP)」の義務の対象となるあらゆる企業にとって、極めて重要な意味を持ちます。 その理由は、両法体系が同じ根本的な論理を共有しているためである。すなわち、法令遵守は、取得された個人情報に対する対応ではなく、その情報の提供要請に伴い生じる義務に対する対応である。
何が起きたのですか?
スペイン最高裁判所(TSE)は2026年3月、一見すると些細な事案と思われる上告事件(STS 1590/2026)について判決を下した。この事件は、ある刑務所が、職員の3日間の欠勤を正当化するために、当該職員に対し、医師の診断書および処方された治療内容の提出を求めたことに端を発するものである。
その職員はプライバシーの権利を理由にこれを拒否し、刑務所側はその情報を一切受け取ることができなかった。その結果、その職員にはどうなったか?刑務所側は彼の給与から3日分の分を差し引いた。
こうした状況を受け、当該公務員はスペインデータ保護庁(AEPD)に申し立てを行い、同庁は調査手続きを開始した。その結果、データ最小化の原則に違反したとして、刑務所総局に対し警告処分が科された。しかし、国家高等裁判所は、個人データが実際に受領されていない限り、データ処理は成立しないとの理由から、この処分を取り消した。 AEPDは上告を申し立て、最高裁判所(TSE)はAEPDの主張を認めた。
法的な核心となる問題は何か?
最高選挙裁判所(TSE)が解決したこの問題は、興味深い技術的意義を持つ:
データ主体が提供を拒否したため、データが管理者のもとへ届かなかった場合でも、個人データの処理は成立するのでしょうか?
国家高等裁判所は、違反ではないとの判断を下した。その根拠として、一般データ保護規則(GDPR)では、データ処理を「個人データに対して行われるあらゆる操作」と定義しており、その第一に「収集」が挙げられていることを挙げた。データの収集がなければ処理は行われないため、したがって違反には当たらないというのである。
欧州司法裁判所(ECJ)は、この論拠が不十分であるとしてこれを退けた。ECJは、GDPR第4条第2項における「処理」の定義が意図的に広範に定められていることを前提としている。 欧州の立法者は、「あらゆる処理」という表現を用い、その例として網羅的ではないリストを付した。この広範さは偶然のものではなく、個人の基本的権利を効果的に保護するために、この概念に広範な適用範囲を与えるという意図を反映している。それだけでなく、定義の広範さを考慮しただけでなく、TSEはGDPRの2つの条項も検討した。
一方、GDPR第5条では、適法性、目的限定、最小限化、正確性、保存期間の制限、セキュリティといった、データ処理を規律する原則が定められている。これらの原則は、すでに受け取ったデータに対して適用されるものではない。これらは、個人データを取得・処理することを目的としたあらゆる活動を設計する段階から遵守すべき義務である。
一方、GDPR第25条では、「プライバシー・バイ・デザイン」および「プライバシー・バイ・デフォルト」が規定されており、具体的には、「処理の手段を決定する段階および処理そのものの段階」における保護措置が定められている。つまり、最初のデータが取得される前の段階である。
したがって、最高選挙裁判所(TSE)の結論によれば、個人情報の提供を求める行為は、すでに個人情報の取得を目的として計画・実施された活動の一部を構成している。その活動は、それ自体が個人情報の処理に該当し、その結果、GDPRが定めるすべての原則、すなわちデータの最小化を含む原則の遵守が求められる。
なぜこの刑務所はGDPRに違反しているのか?
その法理の検討を終えた後、最高選挙裁判所は、具体的な事案に対してデータ最小化の原則を適用する。
当該職員は、欠勤を証明する診断書を提出していた。これらの書類は、欠勤を管理するという目的を果たしていた。 診断書や治療内容の追加提出は、その目的にとって必要な要素を何も加えるものではない。それどころか、最高行政裁判所(TSE)は、一時的な労働不能による休職の場合であっても、雇用主は診断書を受け取らず、医療機関も職場に何も通知しない、と指摘している。まさに、従業員の欠勤を管理する上で、そのような情報は不要だからである。
当該請求は不必要かつ過剰であり、GDPRにおいて特に保護されるべきカテゴリーに分類される健康データに関するものであった。データが提供されなかったとしても、制裁措置は妥当であった。
これはメキシコにも当てはまりますか?
2025年個人情報保護法(LFPDPPP)は、GDPR(一般データ保護規則)と用語および構造的な論理を共有している。同法第2条第19項では、処理を「取得、利用、記録、整理、保存…に関連するあらゆる操作または一連の操作」と定義しており、取得を最初に位置づけており、これはGDPRにおける「収集」と同じ位置づけである。 この一致は、両制度が「処理」を、データがすでに管理者の管理下にある時点ではなく、データへのアクセスを試みる時点から始まるプロセスとして捉えていることを反映している。
LFPDPPP第5条は、比例性の原則をデータ処理の指針となる原則の一つとして定めており、第12条でもこれを再確認している。すなわち、データ処理は「プライバシー通知に規定された目的に照らして、必要かつ適切で、かつ関連性のあるもの」でなければならない。 この基準は、機能的にはGDPR第5条1項c)の最小化の原則と同等であり、その違反が本件スペイン判決の核心となっている。
第13条は、データ管理者が「常に」プライバシー通知が遵守されるよう必要な措置を講じなければならないと定めており、この解釈を裏付けている。また、第16条は、データ収集の時点からプライバシー通知が利用可能でなければならないと規定しており、これは、データ管理者が、いかなる要請が行われる前に、どのようなデータを、どのような目的で収集し、どのような種類の同意が必要かを既に定めていることを前提としている。
欧州の文脈において最高裁判決STS 1590/2026が判例法上定めたことを、LFPDPPPはすでにその条文において明示的に要求している。 その違いは、メキシコでは、この論理が、本判決において最高選挙裁判所(TSE)が示しているほど明確に表現されることは稀であるという点にある。すなわち、過剰なデータを要求する責任者は、データ主体がその情報を提供するか否かにかかわらず、すでに比例性の原則に違反していることになる。
結論は?
最高裁判決第1590/2026号は、新たな義務を創設するものではない。同判決は、法制度上すでに定められていた義務がいつから発生するかを明確にしたものであり、我々が予想していた通り、多くの企業が想定しているよりも早い時期から義務が発生することになる。
その枠組みを法的に厳密に構築することこそが、問題が発生してから初めて対応する企業と、常に規範を遵守する企業とを明確に区別する要素なのです。
