個人データを、ビジネスを守る、IIJ

個人情報保護委、改正法の政令規則の論点を示す


個人情報保護委員会は、11月20日、改正個人情報保護法(改正法)において新設された個人関連情報の第三者提供規制に関し、その細目を定める政令および委員会規則について、論点を示す資料を公開した。

個人関連情報の第三者提供規制に関し細目を定める論点

改正法では、個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び 匿名加工情報のいずれにも該当しないもの)を第三者に提供する場合、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ本人の同意等が得られていることを確認しなければならないこととされた。この場合における確認方法については、委員会規則で定めることとされ、来年はじめに委員会規則案が公開されることになっている。

閲覧履歴情報が特定の個人と紐付けられる場合の規制様態検討参考例が明示

この規制が適用される典型的な場面として、同委員会が昨年12月に公開した制度改正大綱では、パブリックDMPが収集したインターネット利用者の閲覧履歴情報が事業者に提供され、当該事業者が保有するデータと照合することによって、閲覧履歴情報が特定の個人と紐付けられる場合を例示している。このような場合において、

(1) 提供する情報の項目(例えば閲覧履歴)、提供先が顧客情報等の個人データと結びつける予定があるかどうかについて、提供元において判断し、

(2) 提供する個人関連情報は、提供先があらかじめ本人に説明し、本人から同意を得ている物に限られること

について、あらかじめ、両者の商談において確認することが、規制態様検討の参考例として明示された。

明示の同意取得の原則と実装例、記録義務等

本人関与の機会を実質的に確保するということからすれば、本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきとの考え方が示された。実際に、提供先のウェブサイトにおける実装例として、「当社は、第三者が運営するデータ・マネジメント・プラッ トフォームからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人 データと結びつけた上で、広告配信等の目的で利用いたします。」との情報提供文言の例が示された。

このほか、このような個人関連情報の提供について、提供元・提供先に課せられる記録義務について、記録事項や保存期間に関する検討の叩き台が示された。

以上はあくまでも現時点における規制態様検討の参考例であるが、DMPを利用して顧客データのエンリッチメントを行おうとする企業は、これらを念頭において再来年の新規制施行に向けて準備を進める必要がある。

 

個人情報保護委員会が公開した資料:

https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

関連情報

ソリューション・コンテンツ

改正個人情報保護法関連ニュース

サービス

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

関連記事