欧州データ保護委員会(EDPB)は、2026年7月8日に新しいガイドラインを最終決定し、一般データ保護規則(GDPR)がブロックチェーン技術にどのように適用されるかを明確にしました。この指針は、欧州連合(EU)居住者の個人データを処理する組織にとって長年の規制上の不確実性に対処しています。EDPBは、ブロックチェーンの記録が不変であることや、個人データが暗号化またはハッシュ化されていることだけで、ブロックチェーン運営者がGDPRの義務を回避できるわけではないと確認し、技術的なアーキテクチャに関係なく、組織はデータ主体の権利を保護する責任を負い続けることを示しました。これらのガイドラインは、2018年以来適用されているEUのプライバシーフレームワークにおけるコンプライアンスの期待値を再定義する、更新された匿名化基準とともに発表されました。
EDPBは、ブロックチェーンの記録が不変であることや、個人データが暗号化またはハッシュ化されていることだけで、GDPRの義務を回避できるわけではないと確認しました。規制当局によると、組織は選択した技術的アーキテクチャに関係なく、データ主体の権利を保護する責任を負い続けます。委員会は、暗号化またはハッシュ化された個人データは、ウォレットアドレスや外部データベース、復号鍵、または将来的な暗号解析の進歩を通じて識別可能な個人に結びつく可能性があるため、一般的にGDPRの対象であり続けると述べています。付随する匿名化ガイドラインは、データが孤立化、リンク付け、または個人の識別に利用できない場合にのみ、匿名とみなされると規定しています。
ガイドラインは、公開許可制ネットワーク、プライベート許可制ブロックチェーン、コンソーシアムチェーンの三つの主要なモデルに対処しています。EDPBは、プライベートおよびコンソーシアム型のブロックチェーンは、明確に識別可能な組織がデータコントローラーおよび処理者として行動できるため、GDPR遵守により適していると述べました。一方、公開許可制ネットワークは、その参加者の分散性により、これらの責任を割り当てることが非常に困難であると指摘しています。
委員会は、ブロックチェーン技術により記録の削除が技術的に困難な場合でも、GDPRの削除権は引き続き適用されると強調しました。ガイドラインによると、技術的制約は組織の遵守義務から免除しません。EDPBは、企業に対し、ブロックチェーン技術が必要かどうかを事前に判断し、可能な限り個人データをオンチェーンに直接保存しないよう勧告しています。規制当局は、暗号化に伴う長期的なリスクも認識しており、量子コンピューティングを含む技術の進歩により、現在暗号化されているブロックチェーン記録が最終的に解読可能になる可能性があることを指摘しています。組織は、情報を恒久的に保持するブロックチェーンシステムを設計する際に、将来的な再識別リスクも考慮すべきです。
ガイドラインは、可能な限り個人データをオフチェーンに保存し、ブロックチェーンは暗号学的参照の保存に主に利用し、削除可能な個人情報は従来のデータベースに保持することを推奨しています。これにより、GDPRの削除要件を満たしつつ、ブロックチェーンの機能を維持できるとしています。どうしてもオンチェーンに個人データを保存しなければならない場合、規制当局は限定的な代替策を示しています。これには、安全に管理されたオフチェーンの暗号化鍵でブロックチェーンデータを暗号化し、削除リクエスト時に破棄できる方法や、秘密のオフチェーンソルトでハッシュ化したデータを破棄する方法が含まれます。これらの方法は削除の実用的な代替手段となり得ますが、個人データを匿名情報に変換するわけではありません。
ガイドラインは、公開ブロックチェーン上の国際データ移転に伴う課題を指摘しています。取引は複数の国に分散したノードに自動的に複製されるため、組織はGDPRの保護措置なしに意図せずに個人データをEU外に移転してしまう可能性があります。EDPBは、許可制のブロックチェーンネットワークにおける国際移転要件の満たし方は、匿名のノード運営者を特定または契約できないため、特に困難になると警告しています。また、スマートコントラクトについても、決定が個人に法的または類似の重要な影響を及ぼす場合、GDPR第22条が適用される可能性があると説明しています。金融サービス、本人確認、貸付、保険、アクセス管理などのためにスマートコントラクトを展開する組織は、自動処理に関する透明性を提供し、関係者が人間によるレビューを求める機会を確保する必要があります。
このガイドラインは、金融機関、医療提供者、サプライチェーンプラットフォーム、デジタル資産管理者、NFTマーケットプレイス、トークン化資産提供者など、ブロックチェーン技術を利用するさまざまなセクターに影響します。既存のブロックチェーンに個人データが含まれている場合、コンプライアンス向上のために技術的修正やアーキテクチャの再設計、またはオフチェーンストレージへの移行が必要になる可能性があります。EDPBは、このガイドラインは新たな法的義務を課すものではなく、2018年から適用されているGDPRの要件を明確にしたものであると強調しています。したがって、ブロックチェーンネットワーク上で個人データを処理する組織は、既存のシステムを遅滞なく見直す必要があります。規制当局は、パブリックブロックチェーンをコントローラー義務から免除したり、匿名化基準を緩和したりする要請を拒否し、EU全体でのブロックチェーンを用いたデータ処理に対してより厳格なコンプライアンス体制を強化しました。
EDPBは2026年7月8日に何を最終決定しましたか?
EDPBは、GDPRがブロックチェーン技術にどのように適用されるかを明確にする新しいガイドラインを最終決定しました。この指針は、更新された匿名化基準とともに発表され、EUのプライバシールールに従って個人データを処理する組織の遵守方法を示しています。
なぜEDPBは、ブロックチェーンの不変性がGDPR義務を免除しないと述べているのですか?
EDPBは、ブロックチェーンの記録が不変であることや、個人データが暗号化またはハッシュ化されていることだけで、GDPRの義務を回避できるわけではないと確認しました。規制当局によると、組織は選択した技術的アーキテクチャに関係なく、データ主体の権利を保護する責任を負い続けます。
EDPBは、組織がブロックチェーン上の個人データをどのように扱うことを推奨していますか?
ガイドラインは、可能な限り個人データをオフチェーンに保存し、ブロックチェーンは暗号学的参照の保存に主に利用し、削除可能な個人情報は従来のデータベースに保持することを推奨しています。これにより、GDPRの削除要件を満たしつつ、ブロックチェーンの機能を維持できるとしています。
関連ニュース
EUは2027年にMiCAルールブックを再開し、EU外のステーブルコイン発行者を規制予定
欧州委員会は、トークン化を含むMiCAの改訂案について意見を募集しています
カナダは連邦ステーブルコインフレームワークとCARF報告を通じて暗号資産の監督を強化
SEC、2026年7月に暗号資産セーフハーバー提案を発表予定
SEC、3つの暗号資産ルール制定プロジェクトを2026年の規制アジェンダに追加