個人関連情報だから…といって油断をしてはならない

Cookie情報は「個人情報」か ❓

個人情報に敏感な人にとっては、良くも悪くも今や常識になっていますが

日本国内では
Cookie情報は「個人情報」ではなく
「個人関連情報」です…

しかしっ❗

個人関連情報は、個人情報に関連しやすい情報なので、簡単に個人情報に化けてしまいます。

しかも、
個人関連情報は個人情報と紐つけると、事業者にとってかなり有益な情報になることが多いので、当然ながら個人情報に紐つけて利用されるケースが非常に多いのです。

ですから、
Cookie情報の様な「個人関連情報」は、海外では初めから個人情報として扱うことが求めらています。

💡 取得した時は「個人関連情報」であっても、ユーザーID等により個人情報と紐つけたら、それは「個人情報」として取り扱わなければなりません。

ということで、
本日は、新しいガイドラインの（案）より「個人関連情報の定義」について整理してみました。

【 新しいガイドラインの（案）】によると

3-7 個人関連情報の第三者提供の制限等（法第 26 条の 2 関係）

3-7-1-1 個人関連情報

法第 26 条の２（第 1 項）
（略）個人関連情報（生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。）（略）

「個人関連情報」とは、

生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

「個人に関する情報」とは、

ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報である。 
「個人に関する情報」のうち、氏名、生年月日その他の記述等により特定の個人を識別することができるものは、個人情報に該当するため、個人関連情報には該当しない。

「統計情報」とは、

特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当するものではないため、個人関連情報にも該当しない。

【個人関連情報に該当する事例 】

事例 1） Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴

事例 2）特定の個人を識別できないメールアドレス（abc_123@example.om 等のようにメールアドレス単体で、 特定の個人のメールアドレスであることが分からないような場合等） に結び付いた、ある個人の年齢・性別・家族構成等

事例 3） ある個人の商品購買履歴・サービス利用履歴

事例 4） ある個人の位置情報

事例 5） ある個人の興味・関心を示す情報

（※） 個人情報に該当する場合は、個人関連情報に該当しない。

例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。

例えば、スマホの位置情報を継続的に蓄積すれば、自宅や会社の位置はわかっちゃいますね。

引用文献

資料2-2　個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示（案） (PDF : 1291KB)

なんか、
判ったような…　判らないような…
ビミョーな解説ですね。

コンビニのPOSレジから登録された購買情報は「個人情報？」それとも「個人関連情報？」

🏪 コンビニでの会計時にポイントカードを読み込むことで、購入した商品をポイントカードIDに紐つけて記録することが出来ます。

しかし、コンビニ（フランチャイジー）では、ポイントカードのIDが判っていても、購入者が「どこの誰か」までは判りません。

つまり、POSレジから登録された購買履歴は、コンビニでは「個人関連情報」です。

🔻

大抵、POSレジから登録された購買履歴は、本部（フランチャイザー）に送信されます。

🔻

🏢 本部では、ポイントカードの契約書を通じて、契約者が「どこの誰か」を知っています。

ですから、本部ではポイントカードIDから「どこの誰」が、POSレジから登録された購買履歴から「いつ、どこで、何を購入したのか」が判ります。

つまり、POSレジから登録された購買履歴は、コンビニでは「個人関連情報」ですが、本部では「個人情報」になるのです。

ついでに、論点整理も確認しておきましょう

本日のアウトプットはいかがでしたか？
少しでも参考になりましたら
❤️（スキ）で応援いただけると大変励みになります

では、また！