論点整理#4-2 個人関連情報の同意取得・確認方法について
個人情報保護委員会にて、令和2年改正個人情報保護法のガイドライン等の整備に向けた論点整理が行われています。
令和3年4月7日に開催された第171回個人情報保護委員会にて、「個人関連情報」の考え方や具体的な事例について議論され、その資料が公開されました。
その資料を「なんとなく見覚えがあるなぁ」と思いながら確認していましたが、それもそのはず「個人関連情報」は、第158回個人情報保護委員会(令和2年11月20日)ですでに議論されていました。
そして、その際に論点整理もしていました。
「論点整理#4 個人関連情報について」の目次
1.個人関連情報の第三者提供規制の概要
2.規律を設けた趣旨
(1)本人からの同意取得の態様・方法について(※)
(2)「個人データとして取得することが想定されるとき」の語義について
(3)個人関連情報における確認記録義務について
※今回「本人からの同意取得の態様・方法」について、追加の議論が行われました。
ということで、
本日は、本人からの同意の取得の具体的な方法について整理してみました。
2.規律を設けた趣旨
「個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止する」
(1)本人からの同意取得の態様・方法について
同意の取得の具体的な方法について、以下の点で更に検討する必要がある。
① 本人からの同意取得の主体について
本人同意を提供元・提供先のどちらが取得するか
② 本人からの同意の確認方法について
提供元が具体的にどのような方法で本人同意を確認するか
① 同意取得の主体について
規律の趣旨からすれば、本人関与の機会を実質的に確保できるよう、本人同意の取得の態様・方法を検討する必要がある。
本人からの同意取得にあたっては、本人が以下の点について認識できるようにすることが重要。
✔ 「誰が」 個人関連情報を個人データとして取得して利用する主体
✔「何を」 対象となる個人関連情報
✔「どのように利用するか」 利用の目的
💡 特に、本人が個人関連情報を個人データとして取得して利用する主体を認識できるようにすることは重要。
🔹提供先による同意取得
本人に対する説明を行い、同意を取得する主体は、本人と接点をもち、情報を利用する主体となる提供先が原則
✔ 本人との接点を持っているのは、基本的に顧客情報等の個人データを保有している提供先であり、個人データとしての利用主体でもある提供先において同意取得し、本人への説明を行うことで、個人情報の適正な取扱いを確保することができる。
✔ 本人としても、提供先が自ら同意を取得することで、利用の主体を認識することができる。
「誰が」「何を」「どのように」利用するか認識できる状況を確保する必要がある。
「誰が」
利用の主体となる提供先が自ら同意を取得する場合、本人は利用の主体を認識することができ、主体を明示するという要請は満たされる。
「何を」
提供を受ける個人関連情報について、本人が個人関連情報の取扱状況を認識できるよう、その対象を特定できるようにする必要がある。
「どのように」
個人関連情報を個人データとして取得した後の利用目的については、提供先において通知等を行う必要がある。
🔹提供元による同意取得の代行
同意取得を提供元が代行することについては、同等の本人の権利利益の保護が図られることを前提に許容される。
提供元が提供先の同意取得を代行する場合、
提供元で適切に同意取得させた上で、
かつ「誰が」「何を」「どのように」利用するか。
が、認識できる状況を確保する必要がある。
「提供先の義務」提供先が同意取得の主体であるため、提供先は提供元で適切に同意取得させなければならない。
「誰が」
提供元が同意取得を代行する場合、本人は利用の主体を認識することができないことから、提供先を個別に明示する必要がある。
「何を」
提供する個人関連情報について、本人が個人関連情報の取扱状況を認識できるよう、その対象を特定できるようにする必要がある。
「どのように」
個人関連情報を個人データとして取得した後の利用目的については、提供先において通知等を行う必要がある。
💡 提供元で適切に同意取得していないにも関わらず、提供先が個人関連情報を個人データとして取得した場合、「不正取得」に該当し得る。
②本人からの同意の確認方法について
提供先において同意を取得する場合、提供元は同意が得られていることを適切に確認する必要がある。
⚫︎ 提供先による実際の同意取得のプロセスを全て確認することは困難であり、提供元は提供先の申告内容を一般的な注意力をもって確認すれば足りる。
💡 同意を取得していると提供元に虚偽の申告をして、個人関連情報を個人データとして取得した場合、「不正取得」に該当し得る。
本人同意を取得しているID等を提供する行為は、個人データの第三者提供に該当する。
💡 ただし、提供元による確認に際して、提供先が提供元に本人同意を取得しているID等を提供する行為は、提供先が偽りなく確認に係る情報を提供することが個人情報保護法上予定されていることから「法令に基づく場合」に該当するため、第三者提供にあたらないと考えられる。
(第三者提供の制限)
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)法令に基づく場合
個人関連情報の提供を受ける第三者から申告を受ける方法、その他の適切な方法の具体例
【提供先が同意取得する場合の提供元による確認の方法の具体例】
・提供先の第三者から口頭で申告を受ける
・提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる
【提供元が同意取得を代行する場合の確認の方法の具体例】
・提供元において同意取得を代行して同意を自ら確認する
議事概要
小川委員
・個人関連情報の第三者提供に当たっては、本人がデータの流れや言葉の意味、そして、事業者の取扱いなどを容易に認識し、理解できるようにすることが重要であると思う。
・事業者において、本人に説明するに当たっては、例えば図を用いて具体的に説明するなど、本人目線あるいはユーザー目線で工夫をすることが必要だと思う。
・委員会としても、事業者にこのような取組を促していくよう、その旨ガイ
ドラインでも記載すべきだと思う。
大島委員
・提供の対象となる個人関連情報について、事業者においては、定型的な文言ではなく、決して形式的な同意を取得するのではなく、本人から見て対象となる個人関連情報が分かるようにすることが重要であると思う。
・事業者は、本人への情報提供の在り方を工夫していくべきであり、その旨ガイドラインでも記載すべきではないかと考える。
藤原委員
・改正法第 26 条の2第1項の趣旨からして提供先に義務があるということが原則であるということをはっきりさせておいて良かったと思う。
・本人が個人関連情報を個人データとして取得し、利用するのは誰かという主体を認識することがすべての前提となるわけであるため、データの利用という点から考えても、同意取得の主体は提供先ということになる。
・提供元における同意取得の代行については、あくまでも例外的な対応であること、そして、その例外について、許容されるための要件を明確に示していくことが必要ではないかと思う。
丹野委員長
・先日、改正法に関連する政令・規則が公布されたところであるが、ガイドライン等の整備に向けて、本日の議論含め、これまでの議論を踏まえ、引き続き検討を進めてまいりたい。
本日の引用文献
第171回個人情報保護委員会(令和3年4月7日)
資料4 改正法に関連するガイドライン等の整備に向けた論点について(個人関連情報) (PDF : 555KB)
議事概要 (PDF : 104KB)
本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります
では、また!
他の論点も整理しています