毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2021年9月16日
- タイトル: 個人情報保護法ガイドラインQ&A
- 発表者:データサイン代表取締役社長 太田祐一
変更点は更新34カ所、追加44カ所
個人情報保護委員会は2021年9月10日、「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの内容をアップデートしました。その中のポイントについてデータサイン代表取締役社長 太田祐一が説明しました。
アップデータされた内容が掲載されているのは、個人情報保護委員会のページに公開された「個人情報の保護に関する法律についてのガイドライン」に関するQ&AのPDF版(令和2年改正法関係(未施行))です。
ページ数はアップデート前に比べて40ページ以上増え、更新部分は34カ所、追加部分は44カ所あります。その中からランチタイムトークで取り上げた「外国にある第三者への提供」と「第三者に該当しない場合」の2つの話題をご紹介します。
外国にある第三者への提供
質問Q12-3は、「外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか」という内容です。
回答を見ると「個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法第 24 条第1項)に該当しません」に加えて、「個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24 条第1項)に該当しません」と記されています。
そして、後者における当該外国事業者が「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられると記述されています。
「具体的にどういうことなのか個人情報保護委員会に問い合わせてみました。たとえば、ある外国の事業者が、外国に設置したメール送信サービスを提供するサーバを運用している、とします。そのデータベースなどに日本人ユーザーのメールアドレスが保存されていたとしても、外国の事業者の従業員がそのメールアドレスを見られない仕組みを講じる、適切なアクセス制御を行っているなどの場合は第三者提供にならないので、ユーザー本人の同意取得はいらない、ということでした。ただ『個人データを取り扱わない』というものの、海外事業者はサーバで個人データを『保存』しているわけで何らかの『取り扱い』をしていると思うのですが・・・。このあたりはいまひとつ腑に落ちていません」(太田)
第三者に該当しない場合
質問Q7-41は、「委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか」という内容です。
回答には「個人データの取扱いの委託において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません」とあります。
したがって、委託先において、例えば「既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS 運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該 SNS上で広告を表示すること」はできないと例示されています。
「さらに回答には『外部事業者に対する個人データの第三者提供と整理する』か『外部事業者に対する委託と整理する』かで、本人同意を得る主体が委託元なのか、委託先なのか対応が異なる、と記されています。結局、委託先で突合できるのかできないのか、歯切れがよくありません。もし突合できるとすると、たとえば、広告主からフェイスブックへのデータ提供を『外部事業者に対する委託』と整理した場合に、フェイスブックが利用規約で広告主とメールアドレスなどを共有や利用することを記すことは、利用者本人からの有効な同意取得と見なせるのか、という点が引っ掛かります」(太田)
この日はほかにも「利用目的の特定」や「匿名加工情報の適正な加工」などが話題になりました。今回のQ&Aアップデートにともなって、利用規約の見直しなど対応を迫られる事業者は少なくないと考えられます。ぜひチェックしてみてください。