毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

  • 配信日:2021年5月27日
  • タイトル:改正個人情報保護法ガイドライン(案)を読み解く
  • 発表者:データサイン 代表取締役社長 太田祐一

ガイドライン案の通則編に記された「個人関連情報」で気になる点

2021年5月19日から6月18日までの1カ月間、政府の個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集(パブリックコメント)を実施しました。こちらのガイドライン案(通則編)の中で記される個人関連情報について、データサイン 代表取締役社長 太田祐一が気になる点を取り上げました。

個人関連情報とは、「生存する個人の情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」です(個人情報保護法 第26条の2)。

ガイドライン案に記された個人関連情報の例は、Cookie等の端末識別子を通して収集された「ある個人のウェブサイトの閲覧履歴」や、(abc_123@example.com のように)単体で特定の個人を識別できないメールアドレス等に結び付いた「ある個人の年齢・性別・家族構成等」や「ある個人の位置情報」などです。

「気になるのは、CookieやIDFA などの『端末識別子』単体や『abc_123@example.com』そのものが何に該当するのか、という点です。これら単体では特定の個人を識別できないため『個人情報』ではありません。個人関連情報に該当するような気もしますが、ガイドライン案ではそのことは特に明示されていません。それらが個人関連情報に当てはまらないとすると、たとえばCookieを用いてID連携だけをする行為は、個人関連情報の第三者提供には当たらず、第三者提供記録義務はない、ということになります。すなわち別々のドメインで発行されたCookie IDを紐づけるCookie Syncなどを行う事業者は義務を免れるということになるでしょう」(太田)

「いいね!」ボタンを設置するサイト運営者はどうする?

ガイドライン案(通則編)の92ページには、「法第 26 条の 2 の適用の有無について」という項目が新設され、次のような記述がなされています。

個人関連情報取扱事業者は、提供先の第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、法第 23 条第 1 項各号に掲げる場合を除き、あらかじめ当該個人関連情報に係る本人の同意が得られていること等を確認しないで、当該個人関連情報を提供してはならない。

「個人データとして取得する」というのは、いわゆるリクナビ内定辞退率問題で論点になった、提供元では個人情報に該当しないものの、提供先のデータと結びつくことで個人情報に該当する場合における、個人データの取得を意味します。

「例えば、パブリックなDMPからデータを取得したある企業が、自社保有の個人データと紐づけられるID(識別子)を用いて個人情報を取得する、というケースが考えられます」(太田)

一方、企業サイトにフェイスブックの「いいね!」ボタンやピクセルタグなどを設置する場合は、「提供元(企業サイトの運営者)は、提供先(フェイスブック)への個人関連情報の第三者提供を行っている」と見なされるのでしょうか? 

「こちらは個人関連情報の第三者提供にはなりません。この企業サイトはCookie情報を第三者に提供しているわけではないからです。こちらの企業サイトにタグ(個人を識別するセンサーのようなもの)を設置させてもらったフェイスブックが直接、個人情報を取得していると捉えられます」(太田)

「このページを閲覧したあなたは同意した」は無効です

個人データとして取得されることが「想定される」とありますが、こちらは何を基準に「想定」していると考えるべきでしょうか?

「ガイドライン案によると、同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識、とあります。提供元の保有データと提供先の保有データのIDが異なる場合、双方の個人データをダイレクトに関連付けることができませんが、Cookie SyncなどのIDマッピング作業を通じて結びつけることはできます。こうした作業が付加される場合は本ガイドライン案における『想定される』状態に該当すると考えられます」(太田)

ガイドライン案では「本人の同意」について、同意を取得する主体について「本人と接点を持ち、情報を利用する主体となる提供先の第三者であるが、同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元が代行することも認められる」とあります。

ただ、提供元が同意取得を代行する場合でも、提供先の第三者が同意取得の主体であることには変わりないことから、提供先の第三者は提供元に適切に同意取得をさせなければなりません。

「同意取得の方法として書面や電子メールを受領する方法、確認欄へのチェックを求める方法が挙げられていますが、ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するだけでなく、ウェブサイト上のボタンのクリックを求める方法等によらないといけない、とあります。つまり『このページを見ていたならばあなたは同意したことになります』というやり方はダメです」(太田)

本ガイドライン案では、個人関連情報の提供先が外国にある第三者である場合も記載されています。

太田もいくつかパブコメを通じて意見を投稿しました。パブコメの結果は、後日発表される見通しです。