著者
令和2年6月12日に公布された「個人情報の保護に関する法律等の一部を改正する法律案」が、いよいよ令和4年4月1日より施行されます。
同改正法は、いわゆる「リクナビ」問題に起因する提供元基準説(提供先で個人を特定できても提供元では特定できない場合、当該提供する情報は「個人情報」に該当しないという考え方)の問題にどのように対処するのか、という点に関し、「個人関連情報」を創設することにより一定の方向性を示したものと考えることができます。その他、改正法の内容は多岐にわたりますが、実際にご相談も多く、改正としては目玉の一つである「個人関連情報」について、本ブログでは解説を加えたいと思います。
1.定義と改正概要
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(改正法第2条第7項)。特定の個人を特定できる場合には、「個人情報」となることから、個人関連情報には該当しません。したがって、当該情報により個人を特定できないが、「個人に関する情報」であるものが個人関連情報ということになります。言葉遊びみたいで恐縮ですが、典型的には端末識別子としてのCookieやIPアドレス、商品・サービス購入履歴、位置情報等をいうとされています。
ただし、重要なのは、個人情報保護法は、いわゆるモザイクアプローチをとっており、それのみでは個人を特定できなくても、その他の情報と容易に照合することにより特定の個人を特定できる場合も「個人情報」に含まれるとされています。そのため、その情報単体を見て個人情報とはいえないとしても、当該法人又は事業主が有する他の情報と照合することにより個人を特定できてしまう場合には、個人情報となる(個人関連情報とはならない)点に注意が必要です。
このような個人関連情報については、その提供元(取得者)においては、個人情報に該当しない以上、原則として、第三者提供の際に本人の同意は必要ありません。しかしながら、改正法においては、「提供先」において個人関連情報とその他の情報を紐づけることにより、個人情報(データ)として扱うことが想定される場合には、予め提供先において本人の同意が得られていることを、「提供元」において確認しなければなりません(改正法第31条第1項)。
ややこしいですが、提供元においては、個人関連情報は「個人情報」ではないため、そもそも「本人」が誰かということが明らかでありません。そのため、本人に対してアクセス可能な「提供先」において本人の同意を得て、その同意を得られていることを、「提供元」において確認するという趣旨になります。
上記が改正の概要になりますが、実際に実務上運用しようとする場合、種々の問題が生じ得ます。そのあたりについて若干解説いたします。
2.本人からの同意の取得方法等について
提供元が本人から同意を取得する方法については、個人情報保護法は一義的に明らかにしておりません。
この点については、個人情報の保護に関する法律についてのガイドライン(通則編)の3-7-2-3において、書面、電子メールが代表例として掲げられ、ウェブサイト上でクリックを求める方法も記載されています(クリックその他本人の明示の意思表示がなければならず、単にウェブサイト上に取得する個人関連情報を示すのみでは足りないと解されています。)。
また、上記のとおり、原則として本人から同意を得るのは提供先ですが、提供元がかかる同意取得を代行することも認められております。この場合、提供先が提供元に、本人に関する情報を伝えなければならないことから(提供元は前述したとおり本人を特定できません。)、これは個人情報の第三者提供に該当し得ます。もっとも、かかる第三者提供については、個人情報保護法が定める本人からの同意取得に必要な行為として、法令に基づく提供(法27条第1項第1号)に該当する可能性が高いと考えられます。
なお、同意については、個人関連情報の第三者提供のたびに取得しなければならないわけではなく、包括的に取得することが許容されています(ガイドライン通則3-7-2-1)。
3.本人からの同意を得たことの確認方法について
提供元としては、提供先が本人の同意を適切に得たことの確認義務が課されており、どのようなことを行えば、最低限、確認義務を果たしたといえるのか気になるところかと思います。
この点については、個人情報保護法規則第26条第1項において、「法第 31 条第 1 項の規定による同項第 1 号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。」としか記載されておらず、具体的にどうすればよいのかという点は一義的には明らかでありません。
そこでガイドライン通則3-7-3-1を見ると、「申告を受ける方法」として、提供先から口頭での申告を受ける方法や、提供先から同意を得ていることの誓約書面提出を受ける方法が紹介されています。また、「その他の適切な方法」として、提供先が本人から取得した書面自体を確認する方法や、上記のように提供元において本人同意を得てしまう方法が紹介されています。
基本的には上記方法に従っておくことが安全です。提供元としては、提供先において、本人の同意を適切に得ているか否かについて、詳細に調査する義務までは課されておりませんので、上記の方法のいずれかが履行されていれば十分と考えられます。
4.その他
その他、提供先において個人データとして取得することが「想定される」場合とはどのような場合か、「委託」として構成(処理)することはできないのか(委託であれば第三者提供の例外として本人の同意が不要となります。)等種々の問題点が残っており、今後の運用状況は随時ウォッチングしていきたいと思います。
神田