こんにちは!弁護士の中村です。
今回は、個人情報とは?というお話をしてみたいと思います。
え?いまさら何??そう思われた方。そうですよね・・でも・・・ 2020年成立の改正個人情報保護法が2022年には施行されるとあって、弊社では改正個人情報保護法対応のご相談を多くいただきます。
そして、いざお話を伺ってみると・・・意外にも、氏名や住所などの典型的な「個人情報」と、2020年改正で一つの目玉である、cookieなどの個人に関係する情報とが整理されていない方が多くみられる印象です。
まぁ、デジマ界隈の方たちは、
「プライバシー重視でcookieが使えなくなるようになるらしい!!」
とか
「改正個人情報保護法が成立して施行までにアクションが必要!!」
といったことが並行して耳に入ってくるでしょうから、整理がつかないのも当然ですね・・・。
「cookieを利用するのにも事前に同意がいるんだっけ?」
「広告に使ってるけど関係あるんだっけ?」
「使えなくなったら困るんだけど大丈夫かな・・・??」などなどお困りではないでしょうか?
そこで、基本中の基本ではありますが、個人情報ってなんなのか、今一度整理してみたいと思います!!
そして、これに関連するcookie情報の位置づけ、個人【関連】情報という言葉の存在、といったあたりも見ていきたいと思います。
前置きがめちゃくちゃ長くなりましたが・・・
■個人情報とは?
個人情報とは、1つ目として
「①生存する個人に関する情報であって、
②当該情報に含まれる氏名、生年月日その他の記述等により
③特定の個人を識別することができるもの」
をいいます。
ここには、
④他の情報と容易に照合することができ、
⑤それにより特定の個人を識別することができることとなるものを含む、
とされています。
※ここでの①~⑤は個人情報に該当する要件として私が独自に番号を振り当てたものです。
また、2つ目として、個人識別符号(指紋や容貌、旅券番号やマイナンバーなど)が含まれるものも個人情報とされていますが、ひとまずここでは省略します。
ということで、典型的なのは、氏名とか生年月日とかですが、それぞれ単体では特定個人を識別できるとは限りませんよね。なので、いくつかの情報を組み合わせて全体として個人情報、となることが多いかと思います。ちなみに、昔、自動車の免許を取得したときに、「中村恵美子さんがほかにも9人免許を取得しているんですが、ご本人ではありませんよね?」と聞かれたことがあります(笑)。
■いわゆるcookieなどは個人情報なのか?
では、cookieは個人情報に該当しないのでしょうか? cookieも、④他の情報と容易に照合できて、⑤その結果特定の個人が識別できれば、個人情報に該当します。 では、④or⑤の要件が欠ければ、個人情報ではなく、その場合には個人情報保護法は関係ない、ということになるのでしょうか?
ここで、2020年改正個人情報保護法の登場です。2020年改正個人情報保護法は、「個人関連情報」というものについて、法26条の2第1項で、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義しています。
具体的にはガイドラインが待たれるところですが、国会での審議によると、cookieや位置情報は「個人関連情報」に含まれるが、特定の個人との対応がない限り、いわゆる統計情報は、「個人関連情報」には含まれない、とのことです。
このように、個人関連情報についての規定は、現時点では、改正法第26条の2のみとなっており、逆に言えば、他の情報と紐づいて個人を特定できる場合と改正法第26条の2の場合については個人情報保護法の適用がありますので、その点は注意が必要です。※改正法第26条の2自体は重要な改正ポイントですので、こちらについてはまた改めて書こうと思います。
■本質から、今後を見据える
以上のように、改正個人情報保護法によってcookieが全面的に規制の対象となっているわけではありませんので、冒頭に述べたように、「改正個人情報保護法??cookie規制???」と恐れすぎることはないわけです。事前同意は基本的には不要だし、改正法の下ではcookieを第三者提供したときには提供先での用途に注意を払わなければならないですが、そうでなければ現時点では今まで通りの運用で問題ない、ということになります。(ちなみに、自社の会員IDとcookie情報を紐付けた場合は、その瞬間から、そのcookie情報も個人情報として扱われます。)
ただし、GDPR(欧州の一般データ保護規則)やCCPA(カリフォルニア州 消費者プライバシー法)、CPRA(カリフォルニアプライバシー権利法)では、cookieが個人情報として取り扱われることになっており、利用に生活者の明示的な同意を必要とします。今後日本の個人情報保護法の改正によってはcookieに個人情報保護法が全面的に適用されることも可能性としてはありえます。ですので、今後も改正法の動向には注視が必要です。
とはいえ、いつ欧米の波がくるのか?もしくは来ない可能性もあるのか?という気にかけ方は非常にナンセンスです。根本は、データの乱用による生活者の不利益をなくそうという流れであることをご理解ください。その対象としてcookie等を含めている意識の高い国と、まだそのレベルに達していない国があるという違いでしかないのです(日本は後者です、念のため)。
そして現実的には、我が国のプライバシー意識レベルの変化より先にプラットフォーマーの自主規制による“cookieの終焉”の方が早く到来することになりそうです。そこにどう対応していくか、が多くのマーケターにとって当面の重要な課題になっていくのではないかと思います。
弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータの取扱いについてのご相談をお受けしております。 まずはお気軽にご相談ください。ご連絡お待ちしております!
WRITTEN BY: BICP DATA 中村恵美子