_
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
_
_ 令和2年(2020年)11月20日に開催された第158回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」についての審議がなされました。
_ _改正個人情報保護法においては、「個人関連情報取扱事業者」が、「個人関連情報」(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。具体的には、それ単体では個人情報ではない、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報等です。)を「提供先」に提供する場合において、「提供先」が個人関連情報を個人データとして取得することが想定される場合は、当該「個人関連情報取扱事業者」は、「提供先」においてあらかじめ当該「個人関連情報」に係る本人の同意等が得られていることを確認し、この記録を作成・保存する必要があるとの規制が新たに設けられます(改正個人情報保護法26条の2、同改正の施行は2022年4月〜6月の予定です。)。
公表された個人情報保護委員会の資料では、今後、個人情報保護委員会規則で定められる、�@本人からの同意取得の方法・態様、�A「個人データとして取得することが想定されるとき」の語義、�B個人関連情報における確認記録義務について方向性が示されています。
本ニュースレターでは、「個人関連情報」に関する個人情報保護委員会規則の方向性について記載した個人情報保護委員会の資料(以下「個人情報保護委員会資料」という。)の内容を中心に解説いたします。
以下のPDFファイル形式のニュースレターもご覧ください。
【最新情報:改正個人情報保護法】 個人関連情報
1.改正条文(改正法26条の2)
_
【改正条文】
(個人関連情報の第三者提供の制限等)
第26条の2 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一_ 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二_ 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
_
(1)用語の定義
改正法上、「個人関連情報」、「個人関連情報データベース等」、「個人関連情報取扱事業者」という新たな定義が置かれることになります(改正26条の2第1項)。
ア 「個人関連情報」
_ _生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
_ 「個人関連情報」に該当するのは、郵便番号、メールアドレス、性別、職業、趣味、顧客番号、Cookie情報、IPアドレス、契約者・端末固有IDなどの識別子情報および位置情報、閲覧履歴、購買履歴と言ったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられます。
この点については、個人情報保護委員会のガイドラインやQ&Aを待つことになります。
イ 「個人関連情報データベース等」
「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の「個人関連情報」を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベースが「個人関連情報データベース等」に該当すると考えられます。
ウ 「個人関連情報取扱事業者」
_ 「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいいます。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベース(個人関連情報データベース等)から、特定のCookieやID等の識別子に紐づけられた閲覧履歴や趣味嗜好の情報を利用企業(第三者)に提供するDMP事業者が「個人関連情報取扱事業者」に該当するものと考えられます。
_
(2)改正法の規律
ア 第三者の義務(改正26条の2第1項1号、26条の2第3項の準用する26条2項)
�@ 同意取得義務(改正26条の2第1項1号)
「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「第三者」は、「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得する必要があります(改正26条の2第1項1号)。
�A 確認にあたっての偽りの禁止(改正26条の2第3項の準用する法26条2項)
上記�@の「第三者」は、「個人関連情報取扱事業者」が本人の同意を取得したことの確認を行う場合、当該「個人関連情報取扱事業者」に対して、当該確認に係る事項を偽ってはなりません。
�B 外国にある第三者の場合(改正26条の2第1項2号)
「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「外国にある第三者」は、上記�@・�Aの義務に加えて、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければなりません。
�C 外国にある第三者が個人関連情報を受領する場合の相当措置の継続的な実施(改正26条の2第2項の準用する改正24条3項)
外国にある第三者(法24条1項に規定する体制を整備している者に限る。)は、「個人関連情報取扱事業者」から個人関連情報(個人関連情報データベース等を構成するものに限る。)を受領する場合は、個人情報保護委員会規則で定めるところにより、相当措置の継続的な実施しなければなりません。
イ 個人関連情報取扱事業者の義務(改正26条の2第1項・3項)
�@ 確認義務(改正26条の2第1項1号)
「個人関連情報取扱事業者」は、「第三者」が「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、当該「第三者」が「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を得ていることを確認する必要があります。
�A 記録の作成・保存義務(改正26条の2第3項、法26条3項・4項)
「個人関連情報取扱事業者」は、上記�@の確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければなりません(改正26条の2第3項、法26条3項)。
また、「個人関連情報取扱事業者」は、当該記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければなりません(改正26条の2第3項、法26条4項)。�B 外国にある第三者に個人関連情報を提供する場合(改正26条の2第1項2号)
「個人関連情報取扱事業者」が「個人関連情報」を「外国にある第三者」を提供する場合は、上記�@・�Aの義務に加えて、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供されていることの確認義務があります。
�C 個人関連情報を外国にある第三者への提供する場合の相当措置の継続的な実施(改正26条の2第2項の準用する改正24条3項)
「個人関連情報取扱事業者」は、個人関連情報(個人関連情報データベース等を構成するものに限る。)を外国にある第三者(法24条1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければなりません。
〇改正法における個人関連情報の第三者提供規制の概要
出所:個人情報保護委員会作成資料
2.主な論点(個人情報保護委員会資料より)
改正個人情報保護法において新たな規律を設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。
こうした制度趣旨も踏まえ、個人情報保護委員会は、以下の事項を検討必要事項として検討しています。
�@ 本人からの同意取得の態様・方法について
�A 「個人データとして取得することが想定されるとき」の語義について
�B 個人関連情報における確認記録義務について
〇個人関連情報に関する規制の一般的フロー
(出所)個人情報保護委員会作成資料
3.本人からの同意取得の態様・方法について
(1)基本的考え方
改正法において新たな規律を設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。
このような趣旨からすれば、本人関与の機会を実質的に確保できるよう、本人同意の取得の態様・方法を検討する必要があります。
(2)方向性
個人情報保護委員会は、本人関与の機会を実質的に確保するということからすれば、本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきではないか、としています。
明示の同意としては、ウェブサイトでの同意の取得の場合は、ウェブサイト上で必要な説明を行った上で、本人に当該ウェブサイト上のボタンのクリックを求める方法が考えられます。
プライバシーポリシーにおいて、個人関連情報の提供について、利用者側にこれを拒否する選択肢を与えている(拒否されない限り同意しているものとして扱う)場合、これをもって本人の同意を得たものとは認められません。
同意の取得の具体的な方法については、例示をガイドラインで示される予定です。
_
〇ウェブサイトでの同意の取得の例
(出所)個人情報保護委員会作成資料
4.「個人データとして取得することが想定されるとき」の語義
(1)基本的な考え方
改正法の規制は、個人関連情報の提供全般に適用されるものではなく、提供先において「個人データとして取得することが想定されるとき」に適用されるものです。
「個人データとして取得することが想定されるとき」との文言は、制度改正大綱における「明らかな」を法文で表したものであり、その意味するところは同様です。
_
「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(P.25抜粋)
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
_
4.「個人データとして取得することが想定されるとき」の語義
(1)基本的な考え方
改正法の規制は、個人関連情報の提供全般に適用されるものではなく、提供先において「個人データとして取得することが想定されるとき」に適用されるものです。
「個人データとして取得することが想定されるとき」との文言は、制度改正大綱における「明らかな」を法文で表したものであり、その意味するところは同様です。
_
「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(P.25抜粋)
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
_
(2)方向性
ア 「想定される」の語義
_ 「想定される」かどうかは、まず提供元の認識を基準とすべきです。他方で、一般人が通常想定できるような場合に、提供元が認識をしていないことを理由に規律が適用されないとすれば、提供先での取扱を確認していない事業者が規制の適用を免れることになりかねず、相当でありません。
そこで、「想定される」場合に該当するかどうかは、「提供元の認識」と「一般人の認識」の双方を基準に判断すべきです。その具体的については、ガイドラインで示される予定です。
〇「想定される」の判断基準のイメージ
〇提供元の認識を基準に「想定される」に該当する例
第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている場合
〇一般人の認識を基準に「想定される」に該当する例
第三者に個人関連情報を提供する際、当該第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合
_
イ 「個人データとして取得」の語義
本条における「個人データとして取得」の典型例として、個人関連情報を直接個人データに付加する場合が挙げられます。一方、直接個人データに紐付けて活用しないものの、別途、提供先が保有する個人データとの容易照合性が排除できない場合まで規律を適用するか、検討する必要があります。
改正法の趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあります。容易照合性によって個人データになる場合は、提供先が積極的に照合行為を行わない限り本人を識別できないことから、適用対象とする必要はないのではないと考えられます。
そこで、個人情報保護委員会は、本条における「個人データとして取得」は、提供先において、個人データに個人関連情報を付加する等、個人データとして積極的に利用しようとする場合に限られるとしてはどうか、と提案しています。
なお、提供先事業者が、個人データとして積極的に利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合には、個人情報の「不正取得」(個人情報保護法17条1項)に該当し得ます。
5.個人関連情報における確認記録義務について
(1)基本的な考え方
個人関連情報の提供時の確認記録義務の趣旨は、提供元と提供先の双方に義務を負わせることで、全体として個人関連情報が個人データとして取得される過程におけるトレーサビリティを確保し、提供元及び提供先を適切に監督できるようにすることにあります。
そこで、個人情報保護委員会は、個人関連情報の第三者提供規制における確認方法・記録方法等については、同様にトレーサビリティの確保を目的とした個人データの第三者提供規制における確認方法・記録方法を基本にして検討してはどうか、と提案しています。
この場合、個人関連情報特有の事情(例 提供元においては、特定の個人を識別できない)についても考慮する必要があります。
なお、個人情報保護委員会は、「個人関連情報の提供を受けて個人データとして取得する側の確認記録義務についても、個人データの第三者提供規制における確認方法・記録方法を基本にして検討する。」としています。
この点については、筆者としては、改正26条の2第3項は、個人関連情報取扱事業者の確認・記録義務についてのみ規定しているので、「個人関連情報の提供を受けて個人データとして取得する側の確認記録義務を課することには、法律(個人情報保護法)上に義務規定がないのに、果たして個人情報保護委員会規則において新たに義務を課すことができるのかという疑問があります。このような義務を設けるのであれば、改正法に規定すべきであったと言えます。
(2)方向性
ア 提供元における確認方法
個人情報保護委員会は、以下の方向で検討することとし、その具体的な確認方法はガイドラインで示してはどうか、と提案しています。
〇本人の同意の確認(例)
・ 提供先の第三者から、本人に対し十分な説明を行った上で、本人から同意を取得している旨の申告を受ける方法
〇越境移転にかかる情報提供の確認(例)
・ 提供先から本人に対する情報提供の方法を説明した書面の差し入れを受ける方法
・ 提供元において、提供先のプライバシーポリシー等を確認し、同意取得に際して越境移転にかかる情報提供を行っていることを確認する方法
イ 提供元における記録事項
_ _ 個人情報保護委員会は、個人関連情報の提供元における確認事項としては、個人データにおける記録事項を基本に以下の方向で検討してはどうか、と提案しています。
(出所)個人情報保護委員会資料
提供元では、本人の氏名等は有しないため、ユーザーID等の記録・保存を求めるかが論点となりますが、個人情報保護委員会は、記録・保存を求めることはかえってリスクを増大させることになり、トレーサビリティも提供先の本人の氏名等の記録で確保されることから、記録の対象とする必要はないのではないか、としています。
一方で、個人関連情報を提供した年月日については、同一の提供先に対する異なる時点での提供行為を区別できるようにする必要があることから、記録の対象とすべきではないか、と提案しています。
・ユーザーID等
⇒記録の対象とする必要はない。
・個人関連情報を提供した年月日
⇒記録の対象とすべき。
_
〇記録のイメージ(提供先別に記録する場合)
(出所)個人情報保護委員会資料
ウ 提供元における記録の保存期間
個人データを提供する際・受領する際に作成する記録の保存期間については、以下のとおり、記録の作成方法の別によるものとし、原則3年としています。
そこで、個人情報保護委員会は、個人関連情報を提供する際の記録についても、個人データの提供・受領時と同様の期間の保存を求めてはどうか、と提案しています。
(出所)個人情報保護委員会作成資料