こんにちは!BICP DATA 弁護士の中村です。
①では、個人関連情報とは?といった基本知識の整理をさせていただきました。 本エントリでは、いよいよ、個人関連情報についての具体的な規制内容を見ていきたいと思います。
法律では、具体的には大きく分けて、
①提供先 (個人関連情報を他社=提供元からもらう企業):本人の同意取得義務
②提供元 (個人関連情報を集めて第三者=提供先に渡す企業):提供先の本人同意取得を確認する義務
③提供先・提供元:記録義務
が定められていますが、このブログエントリでは、①について詳しく見ていきたいと思います。
(注:法令やガイドラインでは、「提供先の第三者」、「提供元の個人関連情報取扱事業者」と表記されていますが、このブログ内では、「提供先」、「提供元」と省略して記載します。)
■まずはフローで確認しましょう
ガイドラインには、末尾の付録として、【個人関連情報の第三者提供につき、提供先で同意取得する場合の一般的フロー】が記載されています。
以下は、第171回個人情報保護委員会の資料として配付されたドキュメントに記載された図の一部ですが、内容はほぼ同じですので、そちらを少し加工して掲載します。
■どういうケースが想定されているのか
個人関連情報については、
「提供先で本人の同意を得て、それを提供元で確認しなければならない」 、といった程度のことはすでに耳にされているかと思います。
具体的にどういうケースが想定されているか、といいますと・・
A社(提供元)が共通IDと購買履歴とをA社から提供を受けて、B社(提供先)で保有している共通IDと氏名、年齢といった個人データとを、共通IDで紐付けて、広告配信に利用する、というようなケースが考えられますね。
こういうケースを想定されて規定された個人関連情報の規制ですが、以下、提供先と提供元がそれぞれやらなければならないこと、という視点で整理してみます。
■本人の同意について
本人の同意については、原則として提供先が取得しなければならないとされています。
1.提供先がすべきこと=本人の同意取得
(1)本人の同意があるといえるための条件
個人関連情報の提供先は、提供元から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意を得なければなりません。
同意があるといえるためには、本人が同意しようという判断ができるだけの合理的かつ適切な範囲の内容を明確に示した上で、本人の同意の意思が明確に確認できることが必要である、 具体的には、対象となる個人関連情報を特定できるように示す必要がある、とされています。
また、法律上は、当該個人関連情報の利用目的については通知又は公表を行えば足りますが、ガイドラインでは、同意取得の際に同時にその個人関連情報の利用目的についても本人に示すことが望ましい、とされています。
なお、本人が予測できる範囲であれば、包括的に同意を取得することもできます。
(2)同意取得の方法
同意取得の方法については、ガイドラインには以下の例が記載されています。
・本人から同意する旨を示した書面や電子メールを受領する方法
・確認欄へのチェックを求める方法
・ウェブサイト上で同意を取得する場合は、本人に示すべき事項を示した上でウェブサイト上のボタンのクリックを求める方法等
( 単にウェブサイト上に本人に示すべき事項を記載するのみでは足りない)
なお、同意取得に際しては、本人に必要な情報を分かりやすく示すことが重要であり、例えば、図を用いるなどして工夫することが考えられる、ともされており、「とりあえず書いておけばいいや。」、という対応では不十分、ということがよくわかりますね。
(3)例外:提供元による同意取得の代行の場合
以上のように、提供先で当該個人から同意を取得するのが原則ですが、提供元が同意取得を代行することも認められます。
ただ、提供元が同意取得すると、誰がその個人関連情報を利用するのかがわかりませんよね。
なので、提供先を個別に明示して、対象となる個人関連情報を特定できるよう示す必要がある、とされています。
なお、この場合でも、提供先が当該個人関連情報の利用目的についての通知又は公表を行わなければならないことになります。
また、提供元が同意取得を代行する場合であっても、提供先が同意取得の主体であることに変わりはないことから、提供先は提供元に適切に同意取得させなければならない、とされています。
提供元、提供先いずれが本人同意を取得するにせよ、以下の点には注意する必要があります。
「個人関連情報の提供を受けて個人データとして取得する主体、対象となる個人関連情報の項目、個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が認識できるようにする必要がある。 」
■提供先としてはある意味当たり前のこと
以上、個人関連情報の提供を受けた提供先において、本人の同意を得なければならない場合を見てきました。
こういう風に見てみると、提供先においては個人データなわけですから、改正前の個人情報保護法からしても、本人同意を取らなければならない、というのはある意味当たり前のことかもしれませんね。
提供先について、だけで長くなってしまいましたので、提供元については、次のエントリで見ていきたいと思います!
