Q&A改正個人情報保護法②(個人関連情報の第三者提供の制限等)

あたらしい法律の情報


Q2.クッキー(Cookie)などの識別端末子等は個人情報保護法上どのように扱われることになりますか。

第1.個人関連情報の第三者提供の制限等(改正法26条の2)

---------------------------------------------------------------------------------------

【改正条文】
(個人関連情報の第三者提供の制限等)
第26条の2  個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
【改正内容】
〇クッキー(Cookie)やIPアドレスなどの識別子情報が個人情報保護法上の「個人情報」として扱われることになるわけではない。すなわち、他の情報等と紐づけられ、特定の個人を照合することができる場合には、「個人情報」となる点は現行個人情報法と変更はない。
〇DMP事業者等(「個人関連情報取扱事業者」)から、CookieやIPアドレスなどの識別子情報に紐づいた「個人情報」ではない個人に関する情報(閲覧履歴や趣味趣向等)の情報(「個人関連情報」)の提供を受ける利用企業(「第三者」)は、(他の情報と突合して)「個人データ」として取得する場合には、CookieやID等の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得する必要がある。また、利用企業(「第三者」)は、個人情報保護委員会規則で定める相当措置を継続的に実施する必要がある。
〇上記の場合、DMP事業者等(「個人関連情報取扱事業者」)は、利用企業(「第三者」)がCookieやIPアドレス等の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得していることを確認し、記録を作成・保存する義務を負う。また、利用企業(「第三者」)による相当措置の継続的な実施を確保するために必要な措置を講じなければならない。
【実務上の影響】
〇 現在、DMP(Data Management Platform)を利用した行動ターゲティング広告を実施する場合、利用企業は、「個人データの取扱いの委託」(法23条5項1号)として、DMP事業者が「第三者」に該当しないものとして、本人の同意を得ずに、CookieやIPアドレス等の情報を提供し、DMP事業者からこれに紐づいた閲覧履歴や趣味趣向のデータを取得し、自社にある、CookieやIPアドレス等に紐づいた氏名・住所等と突合し、個人データとして利用している。
〇改正により、利用企業は、CookieやIPアドレス等に紐づいた閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を取得することが必要となる。
〇DMP事業者においては、利用企業が閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を取得したか確認し、記録を作成・保存することが必要となる。

-------------------------------------------------------------------------------------
1 改正法上の取扱い
(1)用語の定義
 改正法上、「個人関連情報」、「個人関連情報データベース等」、「個人関連情報取扱事業者」という新たな定義が置かれることになります(改正26条の2第1項)。
ア 「個人関連情報」
 生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
 「個人関連情報」に該当するのは、郵便番号、メールアドレス、性別、職業、趣味、顧客番号、Cookie情報、IPアドレス、契約者・端末固有IDなどの識別子情報および位置情報、閲覧履歴、購買履歴と言ったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられます。
 正確には、個人情報保護委員会のガイドラインやQ&Aを待つことになります。
イ 「個人関連情報データベース等」
 「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の「個人関連情報」を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます。
具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベースが「個人関連情報データベース等」に該当すると考えられます。
ウ 「個人関連情報取扱事業者」
 「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいいます。
 具体的には、CookieやIPアドレス等の識別子情報(個人関連情報)に紐づけられた閲覧履歴や趣味嗜好のデータベース(個人関連情報データベース等)から、特定のCookieやID等の識別子に紐付けられた閲覧履歴や趣味嗜好の情報を利用企業(第三者)に提供するDMP事業者が「個人関連情報取扱事業者」に該当するものと考えられます。

(2)Cookieの個人情報・個人関連情報該当性
 「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいいます(個人情報保護法2条1項各号)。
①1号個人情報(同項1号)
 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいいます。)で作られる記録をいいます。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいいます。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)
②2号個人情報(同項2号)
 個人識別符号が含まれるもの
 Cookieは、それ自体では特定の個人を識別することができず、(1号)個人情報には該当しません。ただし、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合には、「個人情報」に該当します。
 「個人情報」に該当しないCookieは、「個人関連情報」に該当することになります。

(3)改正法の規律
ア 第三者の義務(法案26条の2第1項1号、26条の2第3項の準用する26条2項)
① 同意取得義務(法案26条の2第1項1号)
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「第三者」は、「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を取得する必要がある(法案26条の2第1項1号)。
② 確認にあたっての偽りの禁止(法案26条の2第3項の準用する法26条2項)
 上記①の「第三者」は、「個人関連情報取扱事業者」が本人の同意を取得したことの確認を行う場合、当該「個人関連情報取扱事業者」に対して、当該確認に係る事項を偽ってはなりません。
③ 外国にある第三者の場合(法案26条の2第1項2号)
 「個人関連情報取扱事業者」から「個人関連情報」の提供を受ける「外国にある第三者」は、上記①・②の義務に加えて、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければなりません。
④ 外国にある第三者が個人関連情報を受領する場合の相当措置の継続的な実施(法案26条の2第2項の準用する法案24条3項)
 外国にある第三者(法24条1項に規定する体制を整備している者に限る。)は、「個人関連情報取扱事業者」から個人関連情報(個人関連情報データベース等を構成するものに限る。)を受領する場合は、個人情報保護委員会規則で定めるところにより、相当措置の継続的な実施しなければなりません。

イ 個人関連情報取扱事業者の義務(法案26条の2第1項・3項・4項)
① 確認義務(法案26条の2第1項1号)
 「個人関連情報取扱事業者」は、「第三者」が「個人関連情報」(「個人関連情報データベース等」を構成するものに限る。)を個人データとして取得することが想定されるときは、法23条1項各号に該当する場合を除いて、当該「第三者」が「個人関連情報取扱事業者」から「個人関連情報」の提供を受けて本人が識別される個人データとして取得することを認める本人の同意を得ていることを確認する必要がある。 
② 記録の作成・保存義務(法案26条の2第3項、法26条3項・4項)
 「個人関連情報取扱事業者」は、上記①の確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければなりません(法案26条の2第3項、法26条3項)。
 また、「個人関連情報取扱事業者」は、当該記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければなりません(法案26条の2第4項、法26条4項)。
③ 外国にある第三者に個人関連情報を提供する場合(法案26条の2第1項2号)
 「個人関連情報取扱事業者」が「個人関連情報」を「外国にある第三者」を提供する場合は、上記①・②の義務に加えて、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供されていることの確認義務があります。
④ 個人関連情報を外国にある第三者への提供する場合の相当措置の継続的な実施(法案26条の2第2項の準用する法案24条3項)
 「個人関連情報取扱事業者」は、個人関連情報(個人関連情報データベース等を構成するものに限る。)を外国にある第三者(法24条1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければなりません。

ウ 施行期日・経過規定
 本改正規定は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行されます(改正法附則1条本文)。
 改正法の施行日前になされた本人の「個人関連情報」の取扱いに関する同意がある場合は、その同意が改正法26条の2第1項の規定による「個人関連情報」の第三者への提供を認める旨の同意に相当するものであるときは、同項第一号の同意があったものとみなされます。(改正法附則5条1項)
 「個人関連情報取扱事業者」は、改正法の施行日前に個人関連情報(個人関連情報データベース等を構成するものに限ります。)を外国にある第三者(法24条1項に規定する体制を整備している者に限ります。)に提供した場合において、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じている場合は、法26条2項第2項の準用する法24条3項の適用を受けます。(改正法附則5条2項)

2 改正の背景・経緯
(1) 個人情報の該当性について
 個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としています。情報は、あくまでも集合として意味を成すものなので、単独で評価するのではなく、組み合わせでも評価します。そのため、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとし、様々なケースを漏らさずとらえることとしています。
 この場合、民間事業者における適切な管理を促進し、一方で民間の営業の自由に配慮して過度に広範な規制を避ける観点から、照合できると判断する範囲は、実務に照らし違和感のない範囲にとどめ、容易に照合できる、としているが、近年の組織内外のIT化の進展により、通常の業務従事者の能力で照合できる範囲が格段に拡大しています。
例えば、組織内に、照合可能なデータベースが存在していれば、普段、分離して使っていたとしても、意図をもって照合しようと思えばできることから、容易に照合できると評価し、全体として、個人情報としての管理を求めることになります。
 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めています。このため、外部に提供する際、出す部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、 個人情報としての管理の下で適切に提供することを法律は求めています。
これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めています(いわゆる提供元基準)。
 平成29年(2017年)5月31日に施行された個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断基準」、「提供先判断基準」のいずれに立つのかは明らかにされていませんでした(※下記参照) 。しかしながら、ガイドラインのパブリックコメント回答において、『ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。』(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』 19番参照)とされ、「提供元判断基準」によることが明らかにされました。

----------------------------------------------------------------------------------------

(※)岡村久道弁護士の「個人情報保護法(新訂版)」(商事法務・2009年)76頁においては、「Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。」とされていました。

---------------------------------------------------------------------------------------
(2) 本人の同意なきデータの第三者提供
ア 個人情報保護委員会の問題意識
 提供元と提供先でデータ共有が行われる等の結果、提供先では、個人情報となることを知りながら、提供元では個人が特定できないとして、本人同意なくデータが第三者提供される事例が存在しています。

DMPの仕組み①

出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)

 制度改正大綱にも掲げられているとおり、これは、DMP(Data Management Platform)を利用したターゲット広告などで問題となる。
DMPとは、インターネット上の様々なサーバーに蓄積されるデータや自社サイトのログデータなどを一元管理、分析し、最終的に広告配信などを実現するためのプラットフォームのことです。
 DMPは「プライベートDMP」と「パブリックDMP」の2種類がある。企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」があります。
 「プライベートDMP」は、自社データであり、アクセス解析データ、購買データ、キャンペーン結果、アクセスログ、広告配信データ等が含まれる。自社データであるので、特定の個人を識別できる「個人データ(個人情報)」に該当します。
 「パブリックDMP」は、外部データであり、属性データ(性別、年代等)、嗜好性データ、外部サイト行動データ等が含まれる。個人を特定できるデータは含まれておらず、Cookie(クッキー)などで集約されます。
 「プライベートDMP」(自社データ)と「パブリックDMP」(外部データ)を紐づけて、セグメント分析や顧客プロファイリングを行い、広告配信や自社の施策のターゲティングに利用されます。

画像3

イ リクナビ問題
 今回の改正の背景には、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下「リクルートキャリア社」という。)が、いわゆる内定辞退率を提供するサービスに関する問題があります。
 「個人情報の保護に関する法律第 42 条第1項の規定に基づく勧告等について」(個人情報保護委員会:令和元年12月4日) によれば、以下のとおり、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」の提供が本人の同意なしに行われていました。

---------------------------------------------------------------------------------------

➀ 2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。

-------------------------------------------------------------------------------------- 

リクナビ問題の詳細については、Q3「いわゆる「リクナビ問題」ではどのようなことが問題となりましたか。」を参照のこと。

ウ DMP・リクナビ問題で留意すべき問題(当初のCookie・ID等の提供は個人データの提供に該当しないか?個人データの取扱いの委託としての整理の可否)
 上記アのDMPにおいては、 利用企業は、DMP事業者との間で事前に契約を締結し、DMP事業者に対してCookieやID等の情報を提供しています。DMP事業者側ではCookieやID等で特定の個人を識別できないが、利用企業側では特定の個人を識別できます。
また、上記イのリクナビ問題においては、利用企業はリクルートキャリア社との間で事前に契約を締結し、CookieやID等の情報を提供していました。リクルートキャリア社側ではCookieやID等で特定の個人を識別できないが、利用企業側では特定の個人を識別できます。
 上記ア(1)で説明した「提供元基準」(個人データの提供元において特定の個人が識別できるのであれば、提供先の第三者に対して特定の個人を識別できない形で提供したとしても個人データの提供に該当するとの考え方)によれば、上記ア・イのいずれのケースにおいても、提供元である利用企業においては、特定の個人が識別できるのであるから、「個人データの第三者提供」に該当することになり、事前に本人の同意を得て提供(法23条1項)するか、または、オプトアウトの方法により提供(法23条2項)しなければ、DMP事業者やリクルートキャリア社に提供できないのではないかが問題となります。
 この点、DMP事業者においては、現在、利用企業から「個人データの取扱いの委託」(法23条5項1号)を受けていると整理しているようです。すなわち、「個人データの取扱いの委託」と整理をすれば、利用企業からみて、DMP事業者は「第三者」に該当しないことになり、本人の事前の同意がなくても、DMP事業者にCookieやID等の識別子情報を提供できることになる。そして、DMP事業者がCookie・ID等に紐付いた閲覧履歴や趣味趣向等のデータを提供したとしても「個人データの委託」に基づく提供として本人の同意を要しないことになります。
 リクナビ問題でも、個人情報保護委員会から指導の対象となった利用企業の一部には、「個人データの取扱いの委託」(個人情報保護法23条1項5号)として整理していた企業もあったようです(個人データの委託先は「第三者」とはみなされず、本人の事前の同意が不要となります。)。そのような理由から、個人情報保護委員会は利用企業からリクルートキャリア社へのCookie情報の提供については、特にお咎めをしていないのではないかと思われます。(もっとも、個人情報保護委員会がこのような利用企業に対しても「指導」をしたのは、下記③のとおり、Cookieと紐づいた内定辞退率のデータを提供することが「個人データの取扱いの委託」と整理することが困難であると判断したためではないかと思われます。)
このような整理をするためには、以下の点について留意する必要があります。
① 利用企業側では、CookieやID等と氏名を突合し、特定の個人の趣味趣向や閲覧履歴等の情報、すなわち、個人情報として利用することになるため、個人情報の利用目的の範囲内での利用をしなければなりません(法16条1項)。
② 「個人データの取扱いの委託」とする以上は、利用企業はDMP事業者について委託先として管理することが求められます(法22条)。すなわち、DMP事業者との契約に、利用企業に対する個人データの取扱いに関する報告義務や監査権限に関する規定を盛り込まなければなりません。
③ そもそも、「個人データの取扱いの委託」と言えるのか問題となる。「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいい、具体的処理を行うことを委託すること等が想定される(個人情報保護法ガイドライン(通則編)3-3-4)。「個人データの取扱いの委託」とは通常、個人データの「入力」「編集」「保存」などがイメージされるが、CookieやID等と紐付いた外部データを提供することが果たして「個人データの取扱いの委託」の範囲と言えるのかという問題があるでしょう。リクナビ問題において、「個人データの取扱いの委託」と整理していた利用企業においても、Cookieに紐づいた内定辞退率のデータを提供してもらうことが果たして、「委託」として整理できたのかという問題があるでしょう。

DMPの仕組み②

出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)
(3)制度改正大綱
 今回の改正に関連する制度改正大綱の記述は以下のとおりである。
 リクナビ問題やDMPサービスの現状を受けて、「提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。」としている。

----------------------------------------------------------------------------------------
【制度改正大綱の内容】
制度改正大綱第3章第4節「データ利活用に関する施策の在り方」・4「端末識別子等の取扱い」
(1)基本的考え方
〇 インターネットにおいては、ユーザーの訪問先サイトに係る登録情報、行動履歴情報、デバイス情報等の情報(以下「ユーザーデータ」という。個人情報及び個人情報以外のユーザーに関する情報が含まれる。)を取得し、利活用することが広く行われるようになっている。
〇 その典型例がインターネット広告の分野であり、ユーザーがあるウェブサイトにアクセスした際に、当該ユーザーのPCやスマートフォン等のブラウザごとのクッキー等を通じてユーザー一人ひとりの趣味嗜好・性別・年齢・居住地等に関するユーザーデータを取得し、それを活用して当該ユーザーに狙いを絞った広告配信を行う、いわゆるターゲティング広告の手法が広く普及している。
〇 こうした端末識別子等を用いたビジネスモデルの実態は非常に複雑かつ多様である。ターゲティング広告のベースとなるウェブ技術は進化が著しく、本来、イノベーションを阻害することを避ける観点からも、まずは、自主ルール等による適切な運用が重要である。一方、可能な限り民間の自主性を活かしつつ、認定個人情報保護団体制度等を活用するなど効果的な執行の在り方を検討していく必要がある。
〇 さらに、個人の権利利益との関係で不適切な取扱いとして看過しがたい事態に対しては、委員会として適切な執行を行うとともに、制度の検証を行う必要がある。
(2)端末識別子等の適正な取扱い
〇 端末識別子等であっても、会員情報等と紐付けられ特定の個人を識別できるような場合は、個人情報保護法上の個人情報として取り扱われなければならない。しかし、事業者の中にはこの点について理解不足と思われる事例も散見されるため、今後、実態を注視しつつ、適切に周知・執行を行っていく必要がある。
(3)提供先において個人データとなる情報の取扱い
〇 ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合が多い。例えば、クッキー等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたところである。
〇 一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「DMP(Data Management Platform)」(脚注8)と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。

脚注8 このDMPには、企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」がある。

〇 ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。
〇 個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としているが、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとしている。
〇 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、提供する部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、個人情報としての管理の下で適切に提供することを求めている。
〇 これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めるものである(一般に「提供元基準」と呼ばれている。)。
〇 しかし、最近問題となっている「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」に関しては必ずしも考え方が明らかになっていなかった。
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
-------------------------------------------------------------------------------------- 
3 実務上の影響
〇現在、DMP(Data Management Platform)を利用した行動ターゲティング広告を実施する場合、利用企業は、「個人データの取扱いの委託」(法23条5項1号)として、DMP事業者が「第三者」に該当しないものとして、本人の同意を得ずに、CookieやIPアドレス等の情報を提供し、DMP事業者からこれに紐づいた閲覧履歴や趣味趣向のデータを取得し、自社にある、CookieやIPアドレス等に紐づいた氏名・住所等と突合し、個人データとして利用しています。
〇 改正により、利用企業は、CookieやIPアドレス等に紐づいた閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を事前に取得することが必要となる。
〇DMP事業者においては、利用企業が閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を取得したか確認し、記録を作成・保存することが必要となります。

この記事が気に入ったらサポートをしてみませんか?