執筆者:弁護士 阿久津透(AI・データ(個人情報等)チーム)
1.はじめに
令和2(2020)年6月12日に公布された改正個人情報保護法(以下「改正法」といいます。)については、個人情報保護委員会での論点検討を経て、現在は政令案と規則案が公開されています。
想定スケジュールでは、令和3(2021)年5月頃にガイドラインの意見募集が開始される予定です。
本記事では、改正個人情報保護法のうち「個人関連情報」について、ガイドライン公表前の現時点(2021年2月25日)での内容を整理していきます。
そもそも「個人関連情報」に該当するのか、なぜこの概念が導入されるに至ったのか、という点についてはこちらの「デジタルマーケティングと個人情報改正」の記事の中で解説していますので、併せてご確認ください。
2.個人関連情報に関する規制の概要
個人関連情報に関する規制は、提供元(情報を渡す側)では「個人データ」には該当しないものの、提供先(情報を受けとる側)において「個人データ」となることが想定されるような情報の提供に際して、一定の事項を確認することを義務付けるものです(改正法26の2)。
(引用:第158回個人情報保護委員会 資料1、P2)
3.個人関連情報の一般的なフロー
個人関連情報の第三者提供の一般的なフローと各段階での検討事項は以下のようになります。
(各表は、第158回個人情報保護委員会 資料1、P4を基に作成したものになります。)
(1)提供前
(2)提供時
(3)提供後
4.提供先の本人からの同意取得
上記3(1)で記載したように、提供先であるB社は、ユーザーに対し、ユーザーから個人データを取得する際に、B社が第三者から個人関連情報を取得し、それをユーザーの個人データとして取得することを説明し、同意を得る必要があります。
この同意の取り方については、国会の審議の中で政府参考人が、本人から同意をする旨を示した書面、電子メールを受領する方法、確認欄のチェック、サイト上のボタンをクリック、という方法を挙げていました。
その後、第158回個人情報保護委員会が公表した資料において、ウェブサイトでの同意の取り方のイメージとして、以下の方法が示されました。なお、個人情報保護委員会では、同意の取得の具体的な方法については、例示でガイドラインを示すこととし、引き続き検討していくことが必要という議論がされています。
(引用:第158回個人情報保護委員会資料1、P6)
5.「個人データとして取得することが想定される」とは
(1)「想定されるとき」とは
提供元が一定の事項を確認する必要があるのは、提供先(情報の受け取り先)において「個人データ」となることが想定される時です。
判断基準については、第158回個人情報保護委員会資料1で、想定される場合に該当するかどうかは、提供元の認識と一般人の認識の双方を基準にして判断するものとし、その具体例についてはガイドラインで示してはどうかという見解が示されました。
そして、「想定される」のイメージとして、以下の2つの例が示されています。
①提供先(B社)から、事前に「個人関連情報を取得した後に他の情報と照合して個人データとする」旨を告げられる場合、提供元(A社)の認識を基準に「想定される」と言える。
②提供先(B社)において当該個人関連情報を氏名等を紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合には、一般人の認識を基準に「想定される」と言える。
ということが参考イメージとして挙げられました。
(2)「個人データとして取得」とは
個人関連情報を直接個人データに付加されるケースが「個人データとして取得」する場合の典型例とされています。
一方で、直接個人データに紐付けて活用しないものの、別途、提供先が保有する個人データとの容易照合性が排除できない場合まで、「個人データとして取得」として扱うかについてはまだ確定的な解釈は示されていません。
第158回個人情報保護委員会では、「提供先において、個人データに個人関連情報を付加する等、個人データとして積極的に利用しようとする場合に限られるとしてはどうか」という考え方が示されていますが、どのような取り扱いになるのかに関してはガイドラインやQ&Aでの補充が待たれるところです。
6.提供元の確認方法
最後に、提供元は、どのような方法で提供先に確認すればよいのか、というところを見ていきます。
改正法では、提供元は「あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。」と規定されているだけで、具体的な確認方法は規則で定めるとされています。
そこで現在公表されている規則案の18条の2をみてみると、そこでは以下のような規定がされています。
①法26条の2第1項1号の確認は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。
②法26条の2第1項2号(外国にある第三者への提供)の確認は、同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。
この規則をみてもわかるように、「申告を受ける」、「書面の提示を受ける」という基準はでているものの、どこまでが「その他の適切な方法」として許容されるのかまでははっきりとしません。
この部分に関しても、ガイドラインやQ&Aで具体例が追加されるかどうか、どのような事項が追加されたのかの確認が必要となります。
7.施行までの確認事項
「個人関連情報」は、今回の改正で新たに導入された概念であるとともに、条文の記載も複雑ですので、どのような場合にこの規定が適用されるのか、誰がどの時点で何をする必要があるのか、といった点に混乱が生じやすいところです。
施行後に慌てて対応しないですむように、あらかじめ以下の点を確認しておくとよいと考えられます。
・そもそも「個人関連情報」の取り扱いがあるか
・「個人関連情報」の提供をしているか、受領をしているか
・提供先にあたる場合には、同意の取得方法の見直しを、誰がいつまでに行うか
・記録作成の準備を誰がいつまでに行うか
参考条文
(個人関連情報の第三者提供の制限等)
改正法第26条の2第1項
個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
①当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
②外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
(個人関連情報の第三者提供を行う際の確認)
規則案第18条の2
1 法第26条の2第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。
2 法第26条の2第1項の規定による同項第1号に掲げる事項の確認を行う方法は、同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。
3 前二項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第26条の2第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
監修
弁護士 森田 芳玄
(都内の法律事務所にて主に企業法務に携わったのち、2016年GVA法律事務所入所。現在は、企業間紛争、労務、ファイナンス、IPO支援、情報セキュリティ法務を中心としたさまざまな企業法務案件に携わる。情報処理安全確保支援士。ITストラテジスト。システム監査技術者。)
