データ最小化の3要件テスト（adequate・relevant・necessary）

3要件テストとは

GDPR は「adequate, relevant and limited to what is necessary」という3要件を列挙しているが、それぞれの定義は条文に書かれていない。

実務では、各要件を目的ごとに個別に評価する。処理目的が変われば判断も変わる。

Adequate（十分性）

定義

目的を達成するためのデータが「量・質ともに足りている」か。

両方向の義務

最小化は「多すぎてはいけない」だけでなく「少なすぎてもいけない」という義務でもある。

✗ 多すぎ: 身元確認に生年月日・血液型・家族構成まで収集
✓ 適正:  身元確認に氏名・住所・生年月日を収集
✗ 少なすぎ: 医療記録の照合に姓名だけ（同姓同名の誤照合リスク）

実務上のポイント

データ不足で業務が機能しない場合、それは最小化違反ではなく設計上の問題
「adequate」の判断は目的の達成度で測る

Relevant（関連性）

定義

処理する個人データが目的と「客観的・論理的に繋がっている」か。

典型的な失敗例

収集データ	主張される目的	関連性の問題
血液型	採用選考	業務遂行能力と無関係
宗教・信条	ニュースレター配信	配信には不要
SNSの全投稿履歴	本人確認	過剰（メールアドレスで足りる）

Limited to what is Necessary（必要性・比例性）

定義

目的達成のために「最も侵害度が低い手段」が選ばれているか。

同じ目的を達成できる複数の手段がある場合、プライバシー侵害が最小のものを選ぶ義務がある。

比例原則（Proportionality）との関係

比例原則 =「目的」に対して「手段（データ収集）」が均衡しているか

評価の3軸:
  適切性（Suitability）:  そのデータで目的を達成できるか
  必要性（Necessity）:    より侵害度の低い代替手段はないか
  均衡性（Proportionality): データ収集の便益 > 個人への侵害 か

”just in case” 収集の禁止

「将来役立つかもしれない」という理由でのデータ収集は許されない。

✗ 禁止: 「いつか分析に使えるかもしれないから全項目取っておく」
✓ 許可: 「3ヶ月後に○○のキャンペーンで使う予定があり、そのために今収集する」
          ↑ 予見可能な具体的目的があれば、まだ実現していない将来の処理でも可

定期的レビュー義務

最小化は「収集時の一回限りの判断」ではない。

必要性の定期チェックリスト:
  □ 当初の目的はまだ有効か？
  □ 収集したデータは現在も目的達成に使われているか？
  □ 処理の規模・範囲は変化していないか？（scope creep の兆候）
  □ より少ないデータで同じ目的を達成できるようになっていないか？

ICO は「定期的レビュー」を推奨しており、その結果を文書に残すことがアカウンタビリティ（Article 5(2)）の証拠になる。

実務での適用フロー

1. 目的を明確に文書化する
      ↓
2. 収集しようとしている各データ項目に対して:
   a. Adequate:  この目的を達成するに足りているか？
   b. Relevant:  この目的と論理的に繋がっているか？
   c. Necessary: より少ないデータ・より侵害度の低い手段はないか？
      ↓
3. 判断根拠を RoPA または DPIA に記録する
      ↓
4. 定期的にレビューして状況変化を反映する