毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年11月26日 
  • タイトル: 個人関連情報の論点
  • 発表者:株式会社データサイン 代表取締役社長 太田祐一

2020年に改正された個人情報保護法と個人関連情報

2020年11月20日に開催された第158回 個人情報保護委員会。その配布資料としてWeb公開されているのが個人情報保護法の「改正法に関連する政令規則等の整備に向けた論点について(個人関連情報)」です。「個人関連情報」は法改正により新たに設けられたカテゴリー。データサイン 代表取締役社長 太田祐一がその留意点を紹介しました。

2020年6月に成立した「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正法)。改正内容の1つである「データ利活用に関する施策の在り方」には、次のように記されています。

「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られること等の確認を義務付ける」

文中にある「提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報」が個人関連情報とよばれるもので、今回の改正案で初めて設けられました。

改正法の第26条によると個人関連情報は、生存する個人に関する情報ですが、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものです。

「個人に紐づいていないCookieなどのオンライン識別子や位置情報、行動履歴などが個人関連情報とされています個人関連情報が改正法に盛り込まれた背景には、いわゆる『リクナビ内定辞退率問題』のようなプライバシー侵害に歯止めをかける意図があります」(太田)

2019年に世間を騒がせたリクナビ問題では、WebサイトAの訪問者(就職活動をする学生など)に付与されたCookie IDに紐づく内定辞退可能性を示すデータが、提供元A社(リクルートコミュニケーションズ)からB社(採用企業)に第三者提供されました。第三者提供先であるB社は、自社サイト経由で応募してきた学生のCookie IDと、A社から提供されたCookie IDを結びつけ、応募者の内定辞退率を導き出しました。B社に応募した学生には、個人データの利用に関する事前説明や同意の確認はなく、本人不在の中でおこなわれました。

「リクルートコミュニケーションズ側で保有する、それ単独では特定個人を識別できない情報が、個人関連情報に該当すると考えられます。一方、採用企業側が保有する応募者の情報および算出した内定辞退率は個人情報になります」(太田)

第三者提供された事業者が本人から同意を取得するには

個人関連情報の受け渡しに関するフローは次のようになります。まず、第三者であるデータ提供先(たとえば採用企業B社)が、データ提供元の事業者A社になんらかのデータの提供を求めます。その際、提供先B社は提供元A社に、B社が保有する他のデータとの照合により個人データとして扱う旨を告げ、照合したいCookie IDを提示するなどします。リクエストを受けたA社は、要求されたデータが個人関連情報として扱われると判断したならば、利用者本人からの同意が事前に取得されていることをB社に確認し、そのうえでA、B両社がデータ(たとえば、Cookie IDが付与されたDMPのデータ)を受け渡した事実を記録・保管します(確認記録義務)。データ提供元が記録するのは、データの提供年月日や提供した項目、提供先の情報などです。

個人情報保護委員会においては、本人からの同意取得の態様、すなわち、個人関連情報のやりとりにおいて、いつ、どのような方法で取得するのか、ということ。そして、本人がよく理解して同意できるのか、ということが論点になったようです。

同意取得の望ましいイメージ(例)は、提供先B社のWebフォームにおいて、応募者が会員登録する際の規約や個人情報保護方針に、『入力されたデータを、第三者(この場合、提供元)から提供された個人関連情報と紐づけます』と明示し、同意ボタンを押した場合のみ、登録完了画面に移行する、というものです。原則オプトインで、オプトアウト(同意撤回)による意思表示は認めない、というのが論点の主旨です。

「ただし、アカウント登録時に本人から同意を一度だけ取っておけば事業者側の免罪符になるよ、という意味ではないはずです。個人データとして利用する直前にCMP(同意管理プラットフォーム)などを通じて本人に使用目的を説明し、同意を依頼するのが運用上やりやすいでしょう。利用者もその都度、『自分にとって不利益はないか』と検討しやすくなります」(太田)

法規制の対象になるのはどんなとき?

改正法では、提供元A社がデータをB社へ第三者提供しても、B社が個人データとして取得しないのであれば、利用者からの本人同意取得義務などの規制対象外になるとしています。

たとえば、靴に関するオンライン広告を出すWebサイトが、「年収1千万円以上」の訪問者の情報をDMPから入手し、自社サイト訪問者のCookie ID(ファーストパーティCookie)と紐づけて広告配信したりレコメンドしたりする場合は、規制の対象外です。

しかし、Googleアナリティクスの広告機能をオンにしているWebサイトの場合はどうでしょう?

「『Googleによるデータの直接取得であり、Webサイト運営側は無関係だ』とする立場があります。一方で、Webサイト運営側が、Googleが保有する個人データと紐づけられるCookie IDをGoogleに第三者提供している、つまり個人関連情報の提供元になる、という見方もできます。後者の場合、Webサイト運営側は提供元として確認記録義務などを負う可能性があります」(太田)

また論点には、提供先が個人データとして取得することが『想定される』かどうか、個人関連情報かどうかを判断する主体はまず、提供元A社と記されています。そして、同様に、一般人の認識を基準に照らして判断するもの、と記されています。

「とはいえ、一般的な利用者が、本当に自分に関するデータが『内定辞退率の算出の目的に使用されない』といった確たる認識を事前におこなえるのでしょうか。提供先B社における管理体制に関する情報の開示など、具体的に踏み込んだ内容が改正法やガイドラインにあることが望ましいと考えます」と太田は指摘しました。