Q&A改正個人情報保護法④(適正な利用義務)

あたらしい法律の情報

----------------------------------------------------------------------------------------
【改正条文】
(不適正な利用の禁止)
第16条の2 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

※参照
(適正な取得)
第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 (略)
【改正内容・実務上の影響】
個人情報取扱事業者は、形式的には個人情報保護法の規定に違反しなくても、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用した場合は、法16条の2違反となり、個人情報保護委員会の行政処分の対象となり得ることになる。

---------------------------------------------------------------------------------------

1 改正条文
 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはなりません(改正法16条の2)。
 すなわち、形式的には個人情報保護法の規定に違反しなくても、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用した場合は、法16条の2違反となり、個人情報保護委員会の行政処分の対象となり得ることになります。
 なお、「利用」については、個人情報保護法に定義はないが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します(〇「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(個人情報保護委員会)2-3)。
 本規定の追加は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。

2 改正の趣旨(制度改正大綱)
 制度改正大綱においては、本改正の趣旨について、以下のとおり規定している。
〇 昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり、消費者側の懸念が高まりつつある。
〇そのような中で、特に、現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例が、一部にみられる。
〇制度改正大綱は、こうした実態に鑑み、個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとしている。

3 想定される事例
 制度改正大綱は、「現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例」がある実態に鑑み、「個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない」旨を明確化することとしています。
 具体的に想定されるのは、制度改正大綱においても改正事項として提言されている「提供先において個人データとなる情報の取扱い」や「リクナビ問題」の事例が考えられます。
(1)提供先において個人データとなる情報の取扱い(制度改正大綱 第3章第4節(3))
  提供元と提供先でデータ共有が行われる等の結果、提供先では、個人情報となることを知りながら、提供元では個人が特定できないとして、本人同意なくデータが第三者提供される事例が存在しています。

DMPの仕組み①

出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)

 制度改正大綱にも掲げられているとおり、これは、DMP(Data Management Platform)を利用したターゲット広告などで問題となる。
DMPとは、インターネット上の様々なサーバーに蓄積されるデータや自社サイトのログデータなどを一元管理、分析し、最終的に広告配信などを実現するためのプラットフォームのことである。
 DMPは「プライベートDMP」と「パブリックDMP」の2種類がある。企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」がある。
 「プライベートDMP」は、自社データであり、アクセス解析データ、購買データ、キャンペーン結果、アクセスログ、広告配信データ等が含まれる。自社データであるので、特定の個人を識別できる「個人データ(個人情報)」に該当する。
「パブリックDMP」は、外部データであり、属性データ(性別、年代等)、嗜好性データ、外部サイト行動データ等が含まれる。個人を特定できるデータは含まれておらず、Cookie(クッキー)などで集約される。
「プライベートDMP」(自社データ)と「パブリックDMP」(外部データ)を紐づけて、セグメント分析や顧客プロファイリングを行い、広告配信や自社の施策のターゲティングに利用される。

画像2

(2)リクナビ問題
 就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下「リクルートキャリア社」という。)が、いわゆる内定辞退率を提供するサービスに関する問題があります。
 「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」(個人情報保護委員会:令和元年12月4日) によれば、以下のとおり、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」の提供が本人の同意なしに行われていました。

➀ 2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。

 リクナビ問題についての詳細については、Q3「いわゆる「リクナビ問題」ではどのようなことが問題となりましたか。」を参照のこと。

3 改正内容・実務上の影響
 上記2(1)の「提供先において個人データとなる情報の取扱い」については、別途、法26条の2(個人関連情報の第三者提供の制限等)として改正規定が設けられています。
 それにも関わらず、別途、法16条の2(不適正な利用の禁止)の規定が設けられたのは、データ分析技術等の向上により、個人情報保護法には直接は違反しないものの、適正な利用とは言い難い、法26条の2(個人関連情報の第三者提供の制限等)以外の個人情報の不適正な利用が今後もなされることが考えられ得るために規定することとしたものと考えられます。
 すなわち、形式的には個人情報保護法の規定に違反しなくても、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用した場合は、法16条の2違反となり、個人情報保護委員会の行政処分の対象となり得ることになります。

この記事が気に入ったらサポートをしてみませんか?