論点整理#4 個人関連情報について
Cookie情報は、欧州GDPRや米国CCPA/CPRAなど、海外の個人情報保護法では個人データに該当し、適切なプライバシー保護が求められます
しかし、日本の個人情報保護法では、本人を特定しなければ個人データに該当しないと解されます
ただし、Cookie情報の他、同じ様に本人を特定しない位置情報や閲覧履歴、購買履歴などのインターネット等を介して収集される様々なパーソナルデータを「個人関連情報」と定義して、その考え方や、提供先にて個人情報となる場合の具体的な取り扱い方法について、令和2年11月20日に開催された第158回個人情報保護委員会で議論されました
本日は、その「個人関連情報」について整理してみました
1.個人関連情報の第三者提供規制の概要
「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける」
✅ 個人関連情報とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」
個人関連情報に該当する例
氏名と結びついていない
・インターネットの閲覧履歴
・位置情報
・Cookie情報 等
💡 提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならない
2.規律を設けた趣旨
「個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止する」
こうした制度趣旨を踏まえ、以下の事項を検討する
(1)本人からの同意取得の態様・方法について
(2)「個人データとして取得することが想定されるとき」の語義について
(3)個人関連情報における確認記録義務について
(1)本人からの同意取得の態様・方法について
本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべき
(2)「個人データとして取得することが想定されるとき」の語義について
✅ 提供元の認識と一般人の認識の双方を基準にして判断する
✅ 提供先において、個人データとして積極的に利用しようとする場合
提供元の認識を基準に「想定される」に該当する例
第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている場合
一般人の認識を基準に「想定される」に該当する例
第三者に個人関連情報を提供する際、当該第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合
💡 提供先事業者が、個人データとして積極的に利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合、「不正取得」に該当し得る
(3)個人関連情報における確認記録義務について
✅ 個人データの第三者提供規制における確認方法・記録方法を基本にする
✅ 提供元の記録では、「本人の氏名等」は対象外、「提供した年月日」は対象
✅ 個人データの提供・受領時と同様の保存期間
(参考)記録のイメージ(提供先別に記録する場合)
提供先:
A株式会社(東京都千代田区○○・代表取締役△△)
本人の同意が得られている旨を確認したこと:
提供先であるA株式会社に、同社がユーザー登録の際に必要な情報を提供した上で、個人関連情報に係る本人の同意を取得している旨確認
個人関連情報を提供した年月日:
令和2年10月1日~令和2年10月30日
当該個人関連情報の項目:
CookieID、ウェブサイトの閲覧履歴
議事概要
中村委員
・個人関連情報に関する規定を法改正により新たに設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあり、規定では本人関与が強化された
・個人関連情報を個人データとして取得することが想定されるときに、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認することを個人関連情報取扱事業者に求め、本人関与の機会を確保している
・この本人からの同意取得は、法改正の趣旨を踏まえれば、本人関与の機会を実質的に確保できるような方法を採るべきであると思う
・同意取得については明示の同意を求めることは事業者負担が大きいという意見もあるが、規律を設けた趣旨を踏まえると、本人が提供先における情報の取扱いを認識する機会を与えられ能動的に同意をすることが重要
・『本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきではないか』という同意取得の方法の方向性は適切であると思う
・今後、同意取得の具体的な方法を検討する際にも本人の適切な関与の視点を踏まえることが大切だと思う
加藤委員
・本規律について、Cookie規制等といった報道も当初は一部でみられたが、この規制は単純にCookieを規制することを意図したものではなく、個人関連情報を『特定の個人を識別した上』で利用する際には、適切な本人関与を求めるものである
・事業者に対しても、このような制度の趣旨や考え方が十分に伝わるよう、周知・広報を行っていくべきではないかと考える
藤原委員
・個人データとして積極的に利用しようとする場合に限られる』と表現されている
・表現について『積極的に利用する場合』という主観的要件が重要であると理解しているが、何をもって積極的な利用とするのか、微妙な判断を必要とすると思う
・ガイドラインで制度の趣旨・目的をどのような表現とするかについては、引き続き検討してもよいのではないかと思う
丹野委員長
・本日の議論を踏まえ、引き続き検討を進めてまいりたい
本日の引用文献
第158回個人情報保護委員会(令和2年11月20日)
資料1 改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報) (PDF : 597KB)
議事概要 (PDF : 95KB)
本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります
では、また!
後日、本人からの同意取得の態様・方法について
もう少し深堀りした議論が行われました
この記事が気に入ったらサポートをしてみませんか?