個人情報保護法ガイドラインパブコメ結果

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2021年8月5日
• タイトル：個人情報保護法ガイドラインパブコメ結果
• 発表者：データサイン代表取締役社長 太田祐一

『混ぜるな危険』問題に対する回答は？

2021年8月2日、個人情報保護法ガイドラインのパブリックコメント（意見募集）の結果が公表されました。この中から気になったいくつかの点をデータサイン代表取締役社長 太田祐一が取り上げました。

2021年5月19日から6月18日の1カ月間に実施されたパブコメの対象となったのは「個人情報の保護に関する法律についてのガイドライン（通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編）の一部を改正する告示」等の案です。パブコメには、個人および企業を合わせ、130人から885件の意見が提出されました。提出者が自ら氏名や組織名を公表している場合もあれば、匿名の場合もあります。提出意見の1つひとつに、個人情報保護委員会が回答をしています。

太田が気になったポイントの1つは、フェイスブックのカスタムオーディエンスにおいて広告事業者が、個人情報に該当するメールアドレスなどをアップロードし、それに関連づけた広告配信などを行うことはフェイスブックへの委託なのか、それとも個人情報の第三者提供なのか、という指摘です（【別紙２－１】意見募集結果（通則編）番号351）。

フェイスブックにおけるカスタムオーディエンスとは、広告のターゲット設定オプションの1つで、フェイスブック利用者の中から、既存顧客を見つけ出すことができる機能です。

「これはいわゆる『混ぜるな危険』問題です。多くの広告事業者が、これまで『委託』と整理しているケースが多いでしょう。

しかしパブコメの回答をみると『一般に、個人データの取扱いの委託において、委託先（この場合、フェイスブック ＊データサイン注記）は、委託に伴って委託元から提供された個人データを、独自に取得した個人データと本人ごとに突合する処理を行うことはできません』とあります。突合処理を行なっている場合、提供元（広告主等 ＊データサイン注記）は、原則として個人データの第三者提供に該当するため、本人からの同意取得が必要だと回答されています。

この回答に基づけば、委託と認識していた従来の対応を見直す必要があるでしょう。広告業界に与える影響は小さくなさそうです。ただし、フェイスブックが開示する規約の内容の詳細や意図については改めて確認が必要かもしれません」（太田）

開示請求時における本人確認の方法は適切なの？

個人情報取扱事業者が個人から開示請求を受けた際に、その個人が本人であるかどうかを確かめる必要があります。その本人確認の方法として、修正前の本ガイドラインには運転免許証や健康保険の被保険者証、旅券、在留カード、個人番号カードなどが挙げられていました（【別紙２－１】意見募集結果（通則編）番号567）。

「ただ、アマゾン・ドット・コムなどのECサイトを利用する際、事前に登録したメールアドレスなどのIDと、パスワードが正しく入力されていることで本人を確認しています。このやり方は、金融サービスなど一部を除いて多くのオンラインサービスでは一般的です。したがって開示請求における本人確認でも、登録済みのIDとパスワードで本人確認は十分ではないか、運転免許証などの確認は不要ではないか、との指摘がありました。今回のパブコメの回答および修正には、この指摘が反映されています」（太田）

ハッシュ化したメールアドレスは匿名加工情報ではありません

本ガイドラインの匿名加工情報編では従来、個人が特定できるメールアドレスなどの個人情報をハッシュ化すれば匿名加工情報として扱える、と読めるような書き方になっている箇所について問題視する声がありました（【別紙２－４】意見募集結果（匿名加工情報編）番号73）。

「『ハッシュ化すれば個人情報に該当しなくなる』という誤解が広告業界に広まっていました。メールアドレスをハッシュ化する代替IDなど、こうした誤解に基づいて運用している事業者がかなり多いのではないかな、と思います」（太田）

ハッシュ化は厳密には「暗号化」ではありません。元データが同じであれば、同じ計算アルゴリズムを用いる限り、同じハッシュ値が生成されるのがハッシュ化です。ソルト値を加えても、ソルト値が破棄されずに共有されれば、出力される数値は同一です。計算アルゴリズムやソルト値を知ることができれば、誰も同じハッシュ値を導き出すことが可能です。

パブコメでは、以下のような意見がありました。

氏名と仮 ID の対応表は、匿名加工情報と容易に照合することができ、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができるものであることから、匿名加工情報の作成後は破棄しなければならない。」と書き加えたことは適切といえる。なお、そもそも匿名加工情報において仮 ID は本質的ではなく、法の趣旨に基づく匿名加工情報の利用においてはその対応表を削除しても問題は起きないはずである

個人情報保護委員会の回答では、上記意見に対し「賛同の御意見として承ります」という文言があります（番号79）。

ランチタイムトークでは、このほかにも、Cookieなどの広告識別子の位置づけ、個人関連情報の提供元同意、海外クラウドサービス利用時の公表事項、など気になる点を太田がいくつか指摘しました。

皆さんも、ぜひパブコメの結果をご覧になってみてください。