2020年・改正個人情報保護法の概要(情報の「提供」編)

関原 秀行(Sekihara Hideyuki)

1 はじめに

2020年・改正個人情報保護法について、全体編、情報の「利用」編を書きましたが、3回目となる今回は、自分の勉強も兼ねて情報の「提供」の場面における改正内容について書いてみます。

1回目・2回目で書いた改正個人情報保護法の全体像情報の「利用」の場面における改正内容については以下のnoteをご覧ください。

2 情報の「提供」の場面における改正事項の概要

情報の「提供」の場面における主な改正事項は以下の①~③です。

① オプトアウト手続による第三者提供の厳格化
② 共同利用における通知・公表事項の追加
③ 個人関連情報の第三者提供における確認義務

なお、情報の提供先が「外国にある第三者」の場合における規制についても今回改正がなされましたが、こちらの詳細については改めてnoteに書こうと思います。

以下では、上の①~③の改正事項について簡単に見ていきます。

3 オプトアウト手続による第三者提供の厳格化

⑴ 従前の規制

従前、「個人情報取扱事業者」は、事前に本人の同意を得ていない場合であっても、いわゆるオプトアウト手続によって「個人データ」を第三者に提供することができました(23条2項)。
ただし、「要配慮個人情報」はオプトアウト手続の対象からは除外されていました(23条2項柱書)。

⑵ 今回の改正事項

今回の改正では、オプトアウト手続による第三者提供の対象となる情報の範囲が改正前と比較して限定されました
すなわち、改正前の個人情報保護法では「要配慮個人情報」がオプトアウト手続の対象から除外されていましたが、改正法ではこれに加えて「不正取得された個人データ」「オプトアウト手続によって提供された個人データ」も対象外とされました(改正法23条2項ただし書)。

また、あらかじめ本人に通知し、又は容易に知り得る状態に置くとともに、個人情報保護委員会への届出が必要な事項についても追加されています(改正法23条2項1号・4号・8号、同条3項)。

4 共同利用における通知・公表事項の追加

⑴ 従前の規制

個人情報保護法では、特定の者との間で共同利用される「個人データ」が当該特定の者に提供される場合であって、以下の①~⑤の事項について、あらかじめ本人に通知し、又は容易に知り得る情報に置いているときには、データの提供先である共同利用者は「第三者」に当たらず、本人の同意を得ることなく個人データが提供できるとされていました(23条5項3号)。

① 共同利用されること
② 共同利用される個人データの項目
③ 共同利用する者の範囲
④ 共同利用する者の利用目的
⑤ 個人データの管理責任者の氏名・名称

⑵ 今回の改正事項

今回の改正では、上の①~⑤の事項に加えて、本人への通知等が必要な事項として、「管理責任者の住所」「法人代表者の氏名」が追加されました(改正法23条5項3号、同条6項)。

5 個人関連情報の第三者提供における確認義務

最後は「個人関連情報」の第三者提供を制限する規制になります。
今回新たに追加された規制であり、ちょっと内容が細かいのですが簡単に見ていきます。

⑴ 従前の規制

従前、個人情報保護法では、「個人情報取扱事業者」は、原則として、事前に本人の同意を得なければ「個人データ」を第三者に提供してはならないこととされていました(23条1項柱書)。

また、「個人データ」の第三者提供の場面において、データの提供元と提供先のいずれの事業者を基準に容易照合性(2条1項1号)を判断すべきかについては、「提供元」の事業者を基準として容易照合性を判断するのが行政解釈とされていました(提供元基準説)。

この提供元基準説を前提とすると、例えば、情報の提供元の事業者においてその情報単体では特定個人識別性を有しない「識別子」を保有しており、それが氏名等と容易に照合可能な状態にあって個人情報データベースを構成する場合には提供元である当該事業者から見れば当該識別子は「個人データ」に該当するため、原則として本人の同意が必要になります。

他方、提供元の事業者において「識別子」が氏名等と容易に照合可能な状態にはなく、当該識別子が個人情報(個人データ)に該当しない場合には、本人の同意は不要となります。

⑵ 今回の改正事項

今回の改正法では、まず「個人関連情報」や「個人関連情報取扱事業者」といった定義を定めた上で、「個人関連情報取扱事業者」は、23条1項各号に該当する場合を除き、提供先の第三者が「個人関連情報データベース等を構成する個人関連情報」を「個人データ」として取得することが想定されるときは、以下の①と②の事項を確認しなければ当該情報を第三者に提供できない旨の規定を新設しています(改正法26条の2第1項、2項・24条3項)
なお、一部規則に委任されています。

① 提供先の第三者が個人が識別される個人データとして取得することについての本人同意
② 提供先が「外国にある第三者」である場合には、当該外国の個人情報保護制度などの参考情報の提供

⑶ 改正の趣旨

正確な制度趣旨は立法担当者などからの解説が待たれるところですが、本改正の前提となった「個人情報保護法いわゆる3年ごと見直し制度改正大綱」においては以下のように述べられています。

提供先において個人データとなる情報の取扱い
〇 ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合が多い。例えば、クッキー等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたところである。
〇 一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「DMP(Data Management Platform)」と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。
〇 ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。
〇 個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としているが、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとしている。
〇 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、提供する部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、個人情報としての管理の下で適切に提供することを求めている。
〇 これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めるものである(一般に「提供元基準」と呼ばれている。)。
〇 しかし、最近問題となっている「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」に関しては必ずしも考え方が明らかになっていなかった。
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。

⑷ 今回の規制の対象となる情報

規制の対象となる情報は、「個人関連情報データベース等」を構成する「個人関連情報」です。
まずは定義を見ていきます。

「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもののことをいいます(改正法26条の2第1項)。
「仮名加工情報」とは、今回の改正により新設された概念ですが、内容が複雑であるため、こちらの詳細は改めて書こうと思います。

次に、「個人関連情報データベース等」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもののことをいいます(改正法26条の2第1項)。

したがいまして、一定のデータベースを構成する個人情報が「個人データ」であるように、一定のデータベースを構成する個人関連情報が「個人関連情報データベース等を構成する個人関連情報」に当たるものと思われます。

⑸ 規制の対象となる事業者

この規制の対象となる事業者は、「個人関連情報取扱事業者」です。

「個人関連情報取扱事業者」とは、個人関連情報データベース等を事業の用に供している事業者のことをいいます(国の機関、地方公共団体などは除かれます)。

⑹ 具体的な規制

この規制は、情報の提供先である「第三者」が「個人関連情報データベース等を構成する個人情報」を「個人データとして取得することが想定されるとき」には、「個人関連情報取扱事業者」において、以下の2点を確認することです。

① 提供先の第三者が個人が識別される個人データとして取得することについての本人同意
② 提供先が外国にある第三者である場合には、当該外国の個人情報保護制度などの参考情報の提供

適合体制の整備によって外国にある第三者に情報を提供する場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じる必要があります(改正法26条の2第2項・24条3項)。

提供先の「第三者」は、個人関連情報取扱事業者が上の確認を行う場合には、確認事項については偽ることはできません(改正法26条の2第3項・26条2項)。

また、「個人関連情報取扱事業者」は、情報を提供した年月日、確認事項などの記録の作成・保存義務を負います(改正法26条の2第3項・26条3項・4項)。

なお、上の規制については、個人データの第三者提供の制限を定める23条1項と異なり、委託や共同利用のような例外(23条5項)は定められていません

6 感想

個人関連情報が提供先において「個人データ」に該当すると想定されるときの確認義務は実務上影響が大きそうですね。
個人情報保護委員会が想定している規制対象は大綱の書きぶりから想像できますが、今後はガイドラインなどにおいて具体例やいかなる場合に「想定されるとき」の要件を満たすかなどにつき、明確化していただけるとうれしいです。




この記事が気に入ったらサポートをしてみませんか?