ハッシュはいつ個人データになるのか：EU司法裁判所のSRB判決とアナリティクスの識別子

どのアナリティクス事業者もかわす問いは、立てるのは簡単で答えるのは難しい。あなたのデータベースにある識別子は個人データなのか。2025年9月4日、EU司法裁判所（CJEU） はここ数年で最も重大な答えを示し、テスト全体をデータ単体ではなく文脈を中心に組み立て直した。

EDPS対SRBが実際に判断したこと

この事件——EDPS対SRB、C-413/23 P——はBanco Popularの破綻処理から生じた。単一破綻処理委員会（SRB）は株主のコメントを収集し、各執筆者の身元を英数字コードに置き換え、独立評価者であるDeloitteにコード化されたコメントを送付した。Deloitteはコードを元に戻す鍵を持たず、執筆者に到達する他の手段も持たなかった。

CJEUは、仮名化データはそれに触れるすべての当事者にとって自動的に個人データとなるわけではないと判断した。あるデータセットが個人データかどうかは保有者との関係で評価される——具体的な受領者の立場から、その者が現実に利用できる技術的・組織的・法的手段を踏まえて判断するのだ。

これが相対的（または文脈的）識別可能性のテストであり、前文第26項の「合理的に利用される可能性のある手段」の実務上の読み方である。管理者の手の中では個人データである情報が、誰一人として再識別できない受領者の手の中では個人データでなくなりうる。

EDPBとの緊張

裁判所は事業者にフリーパスを与えたわけではない。EDPBの仮名化に関するガイドライン01/2025は意図的により厳格な立場を取る。すなわち、誰か——管理者または何らかの第三者——が再識別の手段を保持している限り、仮名化データは個人データのままである、というものだ。匿名化と仮名化に関する2026年2月のEDPB報告書は、委員会が自らの立場と裁判所の立場との間のまさにこの隔たりに取り組んでいる過程である。

開発者にとって実務上の読み方は保守的だ。あなたのサービスが元に戻せないからといって、ハッシュ化された値がGDPRの適用範囲外だと決めつけてはならない。正しい問いは、追加情報を保持する誰かにとって再識別が合理的に起こりうるか——そしてその追加情報がそもそもまだ存在するか、である。

なぜ大半のアナリティクスのハッシュはテストに通らないのか

識別子をハッシュ化することは匿名化ではない。メールアドレスのSHA-256は決定論的だ。同じメールアドレスは常に同じダイジェストを生む。候補となるメールアドレスのリストを持つ者は、それらをハッシュ化して照合できる。このハッシュは安定した連結可能なキーであり、よくて仮名化、そしてどちらの読み方でも個人データである。再識別の手段が簡単に手に入るからだ。

同じ罠が、ハッシュ化されたIP、ハッシュ化されたデバイスID、あるいは小さく列挙可能な空間から取られた入力のあらゆるダイジェストに及ぶ。決定論性に推測可能な入力が加われば、再識別になる。ハッシュ関数が変えるのはバイトであって、連結可能性ではない。

ハッシュを本当に擁護可能にするもの

ハッシュを「仮名化された個人データ」から「合理的に再識別できない」へと動かす性質は二つある。データと一緒には決して保存されない秘密のソルトと、網羅的に推測できず時間をまたいで存続しない入力だ。Monoidの識別子モデルはまさにこれの上に構築されている。

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

生のIPとUser-Agentは、ダイジェストを計算するのに必要な間だけWorkerのメモリに存在する。D1が保存するのはハッシュであって、入力ではない。SALT_SECRETはサーバー側に保持され、データの隣に書き込まれることは決してない。そのため、保存済みハッシュに対するレインボーテーブル攻撃や総当たり攻撃にはよりどころがない。そして日付が入力に含まれるため、同じ訪問者のダイジェストは毎UTC深夜にローテーションする。相関づけに使える安定した日跨ぎのキーは存在しない。

この構成を両方のテストに通してみよう。CJEUの相対的基準では、保存済みハッシュのいかなる受領者——自らのD1を照会するMonoid自身を含む——も、合理的に再識別に利用できる手段を持たない。ソルトが分離され、入力が列挙不能だからだ。EDPBのより厳格な「誰か」基準では、再識別に必要な追加情報（生のIPとUA、そしてその特定の日付の秘密のソルト）は、リクエスト完了後にはどこにも保持されない。再識別の手段は単に制限されているのではなく、存在しなくなるのだ。

自分のスタックを監査する方法

この判決は、あなたが頼るあらゆるアナリティクスに当てはめられる具体的なチェックリストを与えてくれる。

• ハッシュ化される入力は列挙可能か。 メール、電話番号、生のIPはハッシュ化して候補リストと照合できる。入力空間が小さければ、ハッシュは実務上可逆だ。
• 秘密のソルトは保存データから分離されているか。 ソルトのないハッシュ、あるいはソルトが同じストアにあるハッシュは、再識別に対する実質的な障壁を与えない。
• 識別子はセッションをまたいで存続するか。 人の活動を何週間にもわたって連結する安定したキーは、どの読み方でも個人データだ。日次でローテーションするキーはプロファイルを蓄積できない。

CJEUは仮名化をセーフハーバーとは宣言しなかったし、EDPBは誰もそう読まないよう目を光らせている。長く通用する立場とは、勝つためにいかなる解釈も必要としない立場だ。列挙不能な入力に対するソルト付き・日次ローテーションのハッシュは、誰によっても合理的に再識別できない。元に戻すために必要な材料が、そもそも一度も保持されていないからである。

出典

• CJEU 判決 事件 C-413/23 P、EDPS 対 SRB（2025年9月4日）
• 仮名化に関する EDPB ガイドライン 01/2025
• 2025年12月12日の匿名化・仮名化に関するステークホルダーイベントの EDPB 報告書
• GDPR 前文第26項 — 匿名データには適用されない