個人情報保護 法律

【法律】Cookie規制に繋がる!?個人関連情報とは?

  • はじめに

    本記事では、2020年6月5日の参議院本会議で可決成立した個人情報保護法一部改正法案の中で第三者提供制限の規律が適用された、個人関連情報について整理します。

    個人情報保護法一部改正法案については、改正個人情報保護法の概要にて紹介しているので、そちらを御覧ください。

    個人関連情報とは

    個人関連情報の定義は以下のように定められています。

    生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

    具体的には、下記の情報が該当します。

    • Cookie情報
    • IPアドレス
    • 契約者・端末固有IDなどの識別子情報
    • 位置情報、閲覧履歴、購買履歴と言ったインターネットの利用にかかるログ情報などの個人に関わる情報で特定の個人が識別できないもの

    つまり、その情報単体では個人情報ではないものの、他の情報と容易に照合することができ、それによって特定の個人を識別できるものが個人関連情報と定義されています。

    個人関連情報に設けられた規制

    2020年改正では、個人関連情報を第三者に提供することで、個人データとして取得されることが想定されるときは、提供先の企業においては、事前に本人の同意を得ることが必要になります。加えて、提供元の企業においても、提供先の企業が同意を得ているかどうかを確認する義務が発生します。

    また、外国の第三者に提供する場合には、本人の同意を得ることに加えて、個人情報保護委員会規則で定められる、本人への情報提供のための措置を講じることが必要になります。

    個人関連情報が"Cookie規制"と言われる理由

    定義の際にも紹介したように、個人関連情報には、Cookieなど、主にweb上のログが該当します。

    具体的に、個人情報保護法制度改正大綱に以下のような記述があります。

    • ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合も多い。例えば、Cookie等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたことである。
    • 一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う「DMP」と呼ばれるプラットフォームが普及しつつある。この中でCookie等の識別子に紐づ個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。

    上記で紹介したように、Cookie等のデータの第三者提供が制限された今回の改正により、個人関連情報は"Cookie規制"の概念であると言われることがあります。

    ただ、本質的には、個人関連情報の第三者提供の規制はCookieを規制したいがために定義されたわけではありません。現在の法律をすり抜けられてしまう、不都合な状況をなくすための法制です。

    現在、個人関連情報にあたるデータの第三者提供規制については、提供先ではなく、提供元で個人データであるかどうかにより判断する、提供元基準説が採用されています。

    しかし、これにより、提供先の事業者が持っている他の情報と照合することによって、個人情報となり得る情報を第三者に送信するスキームが横行してしまいました。

    実際に、2019年に発生した「リクナビ事件」もこのスキームで発生した問題です。

    この不都合を払拭するためにも、「第三者が個人データとして個人関連情報を取得することが想定される時」データの第三者提供を規制する本条が考案されたと考えられます。

    ただ、この文言は抽象的で不明確であるため、詳細な規制は今後のガイドライン等で明確化されていくでしょう。

     

    まとめ

    仮名加工情報、匿名加工情報でもない、個人に関連する情報として、個人関連情報という新しい概念が創設されています。

    大きな影響として、 Cookieなどのインターネット関連情報の面で新たな規制が発生する可能性があります。

    引き続き、政府によるガイドラインの発表を待ちましょう。

    • 個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
    • 個人関連情報を、個人データとして第三者提供を行う際、個人関連情報取扱事業者、第三者共に複数の義務を負う。
    • 提供先の第三者によって他の情報と照合され、個人情報となり得るデータの提供を規制することが重要視されている。
    • 新たな規制によって、企業は対策を求められる可能性がある。

    参考

    1.  

メンバー募集

Acompanyでは、秘密計算の社会実装に向けてメンバーを絶賛募集中です!
優秀なメンバーが集まる環境で世の中に新しい価値を作る挑戦を僕らとしませんか?
以下の分野のメンバーを募集中です!

✅ ソフトウェアエンジニア
✅ マーケティング
✅ バックオフィス

興味がある方は、まずは軽くお話しするだけでも大丈夫ですので、ぜひご連絡ください!😎

話を聞きたい!

-個人情報保護, 法律
-, , , , , , , ,

© 2021 秘密計算の国内最大ブログ | Acompany Co., Ltd.