トピックス

2020.01.01
NEWS

個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)


令和2年( 2020 年) 3月 10 日、「 個人情報の保護に関する法律等の一部を改正する法律案 」 が閣議決定され、 国会 に提出されました 。
※個人情報保護委員会の「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」において、法律案、新旧対照表、概要資料等が公表されています。

下記の本ニュースレターでは、改正個人情報保護法の重要論点についてQ&A形式で解説いたします。

Q&A改正個人情報保護法

※こちらもご覧ください。
【改正個人情報保護法】個人関連情報の第三者提供の制限等(改正法26条の2):クッキー(Cookie)などの端末識別子を個人データとして取得する場合は本人の同意が必要に

【改正個人情報保護法】仮名加工情報の創設
 
令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第5回は、「適正な利用義務の明確化」について解説する。
 
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
 (関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』

執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
第1.適正な利用義務の明確化(制度改正大綱第3章第2節「適正な利用義務の明確化」)(16頁)
 
【改正の方向性】
  • 個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨が規定化される。
【予測される改正条文】
第2条第〇項 (追加)
「個人情報等」とは、個人情報及び個人情報以外の個人に関する情報をいう。
 
(適正な利用義務)
第18条の2 個人情報取扱事業者は、適正とは認め難い方法による個人情報等の利用を行ってはならない。
 
【制度改正大綱の内容】
2.適正な利用義務の明確化
〇 昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり、消費者側の懸念が高まりつつある。
〇 そのような中で、特に、現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例が、一部にみられる。
〇 こうした実態に鑑み、個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとする。
【「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」[2]の内容】
該当の記述なし。
 
第2 解説
1 制度改正大綱
  • 昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり、消費者側の懸念が高まりつつある。
  • そのような中で、特に、現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例が、一部にみられる。
  • 制度改正大綱は、こうした実態に鑑み、個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとしている。
 
2 想定される事例
 制度改正大綱は、「現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例」がある実態に鑑み、「個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない」旨を明確化することとしている。
 具体的に想定されるのは、制度改正大綱においても改正事項として提言されている「提供先において個人データとなる情報の取扱い」や「リクナビ問題」の事例が考えられる。
(1)提供先において個人データとなる情報の取扱い(制度改正大綱 第3章第4節(3))
  提供元と提供先でデータ共有が行われる等の結果、提供先では、個人情報となることを知りながら、提供元では個人が特定できないとして、本人同意なくデータが第三者提供される事例が存在している。

出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)
 
 制度改正大綱にも掲げられているとおり、これは、DMP(Data Management Platform)を利用したターゲット広告などで問題となる。
DMPとは、インターネット上の様々なサーバーに蓄積されるデータや自社サイトのログデータなどを一元管理、分析し、最終的に広告配信などを実現するためのプラットフォームのことである。
 DMPは「プライベートDMP」と「パブリックDMP」の2種類がある。企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」がある。
 「プライベートDMP」は、自社データであり、アクセス解析データ、購買データ、キャンペーン結果、アクセスログ、広告配信データ等が含まれる。自社データであるので、特定の個人を識別できる「個人データ(個人情報)」に該当する。
「パブリックDMP」は、外部データであり、属性データ(性別、年代等)、嗜好性データ、外部サイト行動データ等が含まれる。個人を特定できるデータは含まれておらず、Cookie(クッキー)などで集約される。
「プライベートDMP」(自社データ)と「パブリックDMP」(外部データ)を紐づけて、セグメント分析や顧客プロファイリングを行い、広告配信や自社の施策のターゲティングに利用される。

(2)リクナビ問題
 就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下「リクルートキャリア社」という。)が、いわゆる内定辞退率を提供するサービスに関する問題がある。
「個人情報の保護に関する法律第42 条第1項の規定に基づく勧告等について」(個人情報保護委員会:令和元年12月4日)[3]によれば、以下のとおり、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」の提供が本人の同意なしに行われていた。
 
➀ 2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
 
 リクナビ問題についての詳細については、「個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正」を参照されたい。
 
3 改正の趣旨
 上記2(1)の「提供先において個人データとなる情報の取扱い」については制度改正大綱で個人情報保護法の改正が提言されている。
それにも関わらず、制度改正大綱において、別途、「個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化」することとされているのは、データ分析技術等の向上により、個人情報保護法には直接は違反しないものの、適正な利用とは言い難い、「提供先において個人データとなる情報の取扱い」以外の個人情報等(「個人情報」及び「個人情報以外の個人に関する情報」)の不適正な利用が今後もなされることが考えられ得るために規定することとしたものと考えられる。
 
4 改正規定の予想
 個人情報の「適正な利用」における「利用」については、特段の定義があるわけではないが、「取得」及び「廃棄」を除く取扱い全般を意味すると考えられる(下記Q&A参照)。したがって、「保管」しているだけでも利用に該当する。また、個人データの「第三者への提供」も「利用」に該当すると考えられる。
〇「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(個人情報保護委員会)[4]
Q2-3 「利用」とは何を意味しますか。
A2-3 特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。
 
 なお、「適正な取得」については、個人情報保護法17条1項に規定されている。
(適正な取得)
第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 (略)
 
 個人情報保護法18条は「取得に際しての利用目的の通知等」で個人情報の「取得」に関する規定であり、同法19条は「データ内容の正確性の確保等」であり、個人情報(個人データ)の「利用」に関する規定であるので、同法18条の2として「適正な利用義務」の規定が追加されるのではないかと予想する。
 対象となる情報は、「個人情報」及び「個人情報以外の個人に関する情報」を併せた「個人情報等」としている。識別子等のそれのみでは特定の個人を識別できない「個人情報以外の個人に関する情報」であっても、提供先において識別することができる場合もあり得るので、新たに「個人情報等」という定義を設けた。
 
【予測される改正条文】
第2条第〇項 (追加)
「個人情報等」とは、個人情報及び個人情報以外の個人に関する情報をいう。
 
(適正な利用義務)
第18条の2 個人情報取扱事業者は、適正とは認め難い方法による個人情報等の利用を行ってはならない。
 
 
以 上

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0
[2]https://www.ppc.go.jp/files/pdf/press_betten1.pdf
[3]https://www.ppc.go.jp/files/pdf/190826_houdou.pdf
[4]https://www.ppc.go.jp/files/pdf/1911_APPI_QA.pdf