見出し画像

令和2年改正個人情報保護法 論点整理#4 個人関連情報

今日は、個人情報保護委員会で検討がすすめられている「令和2年改正個人情報保護法 政令・規則・ガイドライン等の整備に向けた論点について」から(個人関連情報)について整理してみました。

第158回個人情報保護委員会(令和2年11月20日)
改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報) (PDF : 573KB)

改正法における個人関連情報の第三者提供規制の概要

個人関連情報とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいう。

個人関連情報に該当する例
氏名と結びついていない
・インターネットの閲覧履歴
・位置情報
・Cookie情報 等
提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならない

規律を設けた趣旨

個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止する

① 本人からの同意取得の態様・方法について

本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべき
同意の取得の具体的な方法については、例示をガイドラインで示す

同意取得の例

なにかのガイドラインで「本人の明示的な同意の意思確認」と「次画面遷移ボタン」は分けた方が良い的な解説があった気がする…

② 「個人データとして取得することが想定されるとき」の語義について

・提供元の認識と一般人の認識の双方を基準にして判断する
・提供先において、個人データとして積極的に利用しようとする場合に限る

「積極的」ってどういうことか。
基準として認識しやすい具体例もなく、感覚値を判断基準にするのは良くないと思う

提供元の認識を基準に「想定される」に該当する例
第三者となる提供先の事業者から、事前に「個人関連情報を受領した後に他の情報と照合して個人データとする」旨を告げられている場合
一般人の認識を基準に「想定される」に該当する例
第三者に個人関連情報を提供する際、当該第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる固有ID等も併せて提供する場合
・提供先事業者が、個人データとして積極的に利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合、「不正取得」に該当し得る

③ 個人関連情報における確認記録義務について

・個人データの第三者提供規制における確認方法・記録方法を基本にする
・提供元の記録では、「本人の氏名等」は対象外、「提供した年月日」は対象
・個人データの提供・受領時と同様の保存期間

(参考)記録のイメージ(提供先別に記録する場合)

提供先:
 A株式会社(東京都千代田区○○・代表取締役△△)
本人の同意が得られている旨を確認したこと:
 提供先であるA株式会社に、同社がユーザー登録の際に必要な情報を提供した上で、個人関連情報に係る本人の同意を取得している旨確認
個人関連情報を提供した年月日:
 令和2年10月1日~令和2年10月30日
当該個人関連情報の項目:
 CookieID、ウェブサイトの閲覧履歴

「本人の同意が得られている旨を確認したこと」の内容をみると
「提供した上で…同意を取得している旨を確認」…って
「確認は提供した後」で良かったけ???
「どんな風に確認したか」とか「どうやって同意を取得しているか」といったことが判る証跡は必要ないのだろうか…

議事概要

第158回個人情報保護委員会(令和2年11月20日)
議事概要 (PDF : 95KB)

中村委員
「個人関連情報に関する規定を法改正により新たに設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにあり、規定では本人関与が強化された。すなわち、改正法第26条の2において、個人関連情報を個人データとして取得することが想定されるときに、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認することを個人関連情報取扱事業者に求め、本人関与の機会を確保している。この本人からの同意取得は、法改正の趣旨を踏まえれば、本人関与の機会を実質的に確保できるような方法を採るべきであると思う。同意取得については明示の同意を求めることは事業者負担が大きいという意見もあるが、規律を設けた趣旨を踏まえると、本人が提供先における情報の取扱いを認識する機会を与えられ能動的に同意をすることが重要であり、資料5ページに示された『本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきではないか』という同意取得の方法の方向性は適切であると思う。今後、同意取得の具体的な方法を検討する際にも本人の適切な関与の視点を踏まえることが大切だと思う」

今後は「能動的な同意の取得」がスタンダードになるのかも

加藤委員
「本規律について、Cookie規制等といった報道も当初は一部でみられたが、この規制は単純にCookieを規制することを意図したものではなく、個人関連情報を『特定の個人を識別した上』で利用する際には、適切な本人関与を求めるものである。事業者に対しても、このような制度の趣旨や考え方が十分に伝わるよう、周知・広報を行っていくべきではないかと考える」

IoT情報なんかも個人関連情報になり得る

藤原委員
『個人データとして積極的に利用しようとする場合に限られる』と表現されている。おおむね、このとおりであると思うが、表現について『積極的に利用する場合』という主観的要件が重要であると理解しているが、何をもって積極的な利用とするのか、微妙な判断を必要とすると思う。最終的にガイドラインで制度の趣旨・目的をどのような表現とするかについては、引き続き検討してもよいのではないかと思う」

やっぱり、指摘されてた!

丹野委員長
「3人の委員から意見を頂戴した。今回、『改正法に関連する政令・規則等の整備に向けた論点について』の4つ目であるが、本日の議論を踏まえ、引き続き検討を進めてまいりたい」

今回は「現時点では方向性を議論したものであり、決定ではないため」のフレーズがない!言い忘れちゃった?

この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
ありがとうございます!今日あった嫌なことが吹き飛びました
今日からアウトプットできる人になるぞ!ということで、個人情報保護法とかプライバシー保護あたりを中心に、情報整理だったり備忘録みたいなところからはじめてみようかと。。。応援していただける優しい方「スキ」していただけると大変励みになります。どうぞよろしくおねがいします。

こちらでもピックアップされています

政令・規則・ガイドライン等の整備に向けた論点
政令・規則・ガイドライン等の整備に向けた論点
  • 5本

「令和2年改正個人情報保護法 政令・規則・ガイドライン等の整備に向けた論点」について、個人情報保護委員会より公開された資料から要点を抜き出した私的メモをアウトプットでございます。 アウトプットしていて感じたことは『もう少し踏み込んだ議論をお願いします!』ってこと

コメントを投稿するには、 ログイン または 会員登録 をする必要があります。