JUNE 24, 2021

ガイドライン案の【個人関連情報】を読み解く①―総論

こんにちは!BICP DATA 弁護士の中村です。

今回は、マーケターの皆さん大注目の、「個人関連情報」について、見ていきたいと思います。

■そもそも「個人関連情報」とはなにか

まず、個人関連情報とは何か。改正法では以下のように定められています。

図にするとこんな感じでしょうか。

定義が消極的定義なので、具体例がないとピンとこないですよね。

この点、ガイドライン案では、どういう情報が個人関連情報に該当するのか、の具体例がいくつか挙げられています。

個人関連情報=cookieなど!と思っていましたが、正確には、cookieを用いて収集された閲覧履歴が個人関連情報に該当する、とのこと。なるほど。

その他、個人を特定できないメアド。確かにその通りですね!

なお、これに関して、(※)書きで、個人情報に該当する場合は、個人関連情報には該当しない、という点が注意的に記載されています。

具体的には、

  • ある個人の位置情報それ自体のみ⇒個人情報ではない(が個人関連情報である)
  • 個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合⇒個人情報である(が個人関連情報ではない)

とのことです。

「位置情報は個人情報ですか?」といった質問がYES/NOでは答えられない、ということがよくわかりますね。

そして、個人情報に該当するかどうかの判断が、「特定の個人を識別することができるかどうか」による、というところも改めて要確認です。

特定の個人が識別できるかが判断基準

■改正法の規定はどうなっているの?

では、個人関連情報について、どういう規制がなされているのでしょうか。

もう皆さんある程度ご存じかと思いますが、改めて整理してみます。

改正個人情報保護法第26条の2第1項において、個人関連情報の提供元に対して、

当該情報の提供先がその情報を

①個人データとして取得することが
②想定されるとき

は、以下の点について確認する義務が課されています。

a) 提供先が、提供元から個人関連情報の提供を受けて本人が識別できる個人データとして取得することを認める旨の当該本人の同意が得られていること
b) 外国にある第三者に提供する場合、情報提供を十分にしていること

 ■確認義務が発生するのはどういう場合か

では、具体的にはどういう場合に確認義務が生じるのでしょうか?

1.「個人データとして取得」

これについては、
「個人データとして利用しようとする場合」
であるとされています。

具体的には、

という例が記載されています。これは、現に利用しようとしている場合なので、比較的わかりやすいかと思います。

2.「想定される」

これについては、
(1) 提供元において、提供先が「個人データとして取得する」ことを現に想定している場合
又は
(2) 一般人の認識(※)を基準として「個人データとして取得する」ことを通常想定できる場合

であるとされており、具体例として以下の記述があります。

つまり、

①提供元が、個人データと紐付けて取得することができますよ!と説明している場合には、提供先で個人データと紐付けて利用することを想定していますよね、ということ。

また、

②提供先が、提供元に対して、個人データと紐付けて取得しますよ、と説明した場合であれば、提供先としては、提供元では個人データとして利用するに違いない、と簡単に想像できますね、ということですね。

そして、「通常想定できる場合」として、

とされています。
提供元としても、氏名等と紐付けるであろうことを前提に、そのために使うID等も一緒に提供した場合には、提供先で個人データと紐付けて利用することがわかってたでしょ?というところかなと思います。

なお、一番わかりにくいのが、「一般人の認識」なんですが(一般人って誰やねん!という)。

この点、ガイドラインにおいては、

とあります。

cookie等の個人関連データを受け渡しするような担当者なら、普通は、こういったデータをどういう目的で使うのかはわかっているかと思います。少なくとも、その個人関連情報の受渡しを行うという取引を決定した者はその用途などは理解しているはずですよね。そういったことを言っているのです。

常識的に考えれば大丈夫!

■契約で「個人データと紐付けない」という定めをしておけばいいの?

ところで、提供元において、法務部門の人に、個人関連情報を提供するんだけど・・・という相談をしたとしたら、(もちろんケースによりますが)、契約書の中で、「提供先は個人関連情報を個人データとして用いない」という縛りをかけるといいのでは?というアドバイスを受けることもあるでしょう。

契約なので、提供先もその点について同意していることになりますから、このような契約をしておけば、「通常個人データとして取得する」ことは想定されない、ということになるかと思います。

しかし、それにも例外があります。この点につき、ガイドラインには以下のような記載があります。

「実際には個人関連情報を個人データとして利用することがうかがわれる事情」が具体的にどういうものなのか、についてまでガイドライン案には記載がありませんので、パブリックコメントを経て何か追記されるかもしれませんが、現時点ではこの程度しかわかりません。

ただ、一ついえることは、契約してれば大丈夫、というわけではなく、受渡しをするたびに、具体的事情を考慮して、個人データと紐付けることがないのか注意しておく必要はありますね。

すっかり長くなりましたので、続きはまた改めて!!

千里の道も一歩から!

弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱についてのご相談をお受けしております。

まずはお気軽にご相談ください。ご連絡お待ちしております。

WRITTEN BY: BICP DATA 中村恵美子
一覧へ戻る

CONTACT US
お問い合わせ

顧客中心型マーケティングにおけるデータ活用戦略の
推進をサポートします。

お問い合わせはこちら