世界のプライバシー保護規制対応を支援するサイト

【改正個人情報保護法】デジタルマーケティングにおける個人関連情報第三者提供制限への対応〜クッキー(Cookie)制御が重要


目次

サマリー
1. 個人関連情報第三者提供規制への対応
1.1. 規制の概要
1.2. 用語の定義
1.3. 同意取得確認義務
1.4. 同意取得方法
1.5. 誰が同意を取得すべきか
1.6. 同意取得の確認方法など
1.7. 適用されない可能性が高いケース
1.7.1. ターゲティング広告
1.7.2. ソーシャルプラグイン
2. 現行個人情報保護法等への対応
2.1. クッキー(Cookie)をめぐる誤解
2.2. デジタルマーケティングに関連して適用される現行法の規制
3. おわりに

個人情報保護法等関連条文

 

サマリー

  • 改正個人情報保護法の個人関連情報第三者提供規制は、典型的には、パブリックDMPなど、サードパーティ・データを利用する場合に適用される。
  • パブリックDMPから提供されたサードパーティ・データを自社データと突合し、本人を識別できる状態で利用する場合、本人から同意を取得しなければならない。同意取得に当たっては、利用するデータの種類、利用目的を明らかにしなければならない。
  • パブリックDMPからデータ提供を受ける場合、ウェブサイト管理者が情報提供、同意取得の義務を負うのが一般的である。
  • 匿名アクセスウェブサイトにおけるターゲティング広告は、一般的に規制対象とならないが、JIAAターゲティング広告ガイドラインを遵守することが要請される。
  • 現行法のもとでも、クッキー(Cookie)で取得した閲覧情報その他の個人を識別し得ない情報を、ウェブフォームなどで取得した個人情報と結びつけ得る場合、全体について個人情報として規制が適用される場合があり、利用目的の通知・公表その他の法遵守が必要である。

個人情報保護委員会(以下「委員会」)は、4月7日の会合後、「改正法に関するガイドライン等の整備に向けた論点(個人関連情報)」(以下、「論点資料」)※1 と題する資料を公開しました。2020年6月に改正された個人情報の保護に関する法律(以下「改正法」)で新たに導入された個人関連情報の第三者提供規制については、今夏にガイドラインが公表される予定ですが、今回公表された論点資料で、概ねの方向性が明らかになりました。この機会に、企業が国内でデジタルマーケティングを実施する場合における個人情報保護法遵守対応をまとめます。

※1:https://www.ppc.go.jp/files/pdf/210407_shiryou-4.pdf

 

1. 改正個人情報保護法における個人関連情報第三者提供規制への対応

 

1.1. 規制の概要

改正法では、新たに、個人関連情報を第三者に提供する場合の規制が設けられました。該当条文は以下のとおりです。

(個人関連情報の第三者提供の制限等)
第26条の2  個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第24条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

 

用語の定義を含む複雑な構造の条文なので、解きほぐして説明します。なお、以下の説明は、個人関連情報の提供元及び提供先がいずれも国内の事業者である場合に限定します。

 

1.2. 用語の定義

  • 個人関連情報:改正法では、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。論点資料は、個人関連情報に該当する例として、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報等を挙げています。また、同じく論点資料で示されている規制適用の典型的な場面の説明では、購買履歴が挙げられています。定義の文言およびこれらの例から、顧客等のオンライン及びオフラインの行動履歴情報及びその分析によって生成された顧客等の属性情報など、デジタルマーケティングにおいて取得・利用される情報は、それらに含まれる記述により特定の個人を識別できない場合、個人関連情報に含まれると考えられます。
  • 個人関連情報データベース等:改正法では、「個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」と定義されています。政令では、「これに含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」(第7条の2)と定義されています。デジタルマーケティングの文脈では、顧客等の行動履歴、属性情報等から構成されるデータベースを意味するものと考えられます。
  • 個人関連情報取扱事業者:改正法では、「個人関連情報データベースを事業の用に供している者であって、国、地方公共団体、独立行政法人等又は地方独立行政法人を除いたもの」と定義されています。つまり、個人関連情報データベース等を事業活動において利用している民間事業者ということになります。
 

1.3. 同意取得確認義務(改正個人情報保護法)

個人関連情報取扱事業者が、個人関連情報データベース等を構成する個人関連情報を第三者に提供し、当該第三者が当該個人関連情報を個人データとして取得することが想定されるときは、原則として、このような提供及び取得について本人の同意が得られていることを確認する義務があります。このような確認方法は、個人情報保護委員会規則により、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法によるものとされます。
論点資料では、この規制の典型的な適用場面として、下図のように、パブリックDMPのような事業者が顧客等のクロスサイト行動履歴を他事業者に提供する例を挙げています。

個人情報委員会「改正法に関連するガイドライン等の整備に向けた論点について (個人関連情報)」(令3/4/7)より

この例に即して上記の規律を解きほぐすと、次のようになります。

  1. パブリックDMPのA社は、サードパーティクッキーを設定するタグをB社その他のA社DMPサービスを利用するウェブサイト管理者に提供する。B社その他のウェブサイト管理者は、このタグを自社が運営するウェブサイトに埋め込む。
  2. A社タグを埋め込んだウェブサイトを閲覧した利用者のブラウザには、A社を設定ドメインとするサードパーティクッキーが設定され、利用者のブラウザには一意のブラウザIDが付与される。これらのウェブサイトにおいて利用者が閲覧したページ、購入した商品などに関する情報がブラウザIDとともにA社に送信される。
  3. A社は、氏名やメールアドレスが不詳であるが、一意に識別しうるブラウザを利用している個人に関するネット上の行動履歴、購買履歴およびこれらを分析して得られる属性情報等から構成されるデータベースを構築する。これは個人関連情報データベース等に該当する。A社は、これらの個人関連情報をB社その他のA社DMPサービス利用企業に提供する。
  4. B社は、ウェブフォームにおいて利用者の氏名、メールアドレスなどの個人情報を取得しており、これらの個人情報を、B社自身が設定するファーストパーティクッキーにより設定する利用者のブラウザIDに結びつけたデータベースを保有している。
  5. B社は、B社自身が設定したブラウザIDとA社から提供されたブラウザIDとを突合することができる。これにより、A社から提供された利用者の行動履歴、閲覧履歴、属性情報などの個人関連情報は、B社が把握している氏名、メールアドレスなどと結びつけることが可能となり、これらは全体として、識別し得る個人に関する情報(個人情報)から構成されるデータベースを構成する個人データとなる。B社はこれらの情報を利用して利用者を対象とするマーケティング活動を行う。

以上のようなデータ利用を行う場合、B社は、A社に対してこれらの情報を提供する前に、本人から同意を取得していることを確認する必要があります。

一般的に、クロスサイトの行動履歴、それらから分析された属性情報を提供するパブリックDMPからデータの提供を受け、自社では利用者の個人情報(氏名、メールアドレスなど)を保有している場合、個人関連情報第三者提供規制の適用対象となる可能性があります。

 

1.4. 同意取得方法(改正個人情報保護法)

論点資料では、このような同意取得にあたっては、「誰が」「何を」「どのように」利用するのかを明確にした情報提供をしなければならないとしています。

「誰が」とは、誰が提供される個人関連情報を利用するかに関する情報です。提供先(上記例の場合はB社)において同意を取得する場合においては、利用主体は明らかです。提供元(上記例の場合はA社)において同意を取得する場合においては、提供先を明らかにする必要があります。

「何を」とは、提供される個人関連情報の種類です。同意取得に際し、どのような個人関連情報が提供されるのかを明らかにする必要があります。

「どのように」とは、提供先における個人関連情報の利用目的です。同意取得に際し、提供先において個人関連情報がどのような目的で利用されるのかを明らかにする必要があります。例えば、閲覧履歴から生成される属性情報に基づいてカスタマイズされるウェブコンテンツ、広告を表示するために利用するなど、具体的な利用目的について情報提供しなければなりません。

2020年11月30日に個人情報保護委員会が公開した資料「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」※2 では、同意取得方法について、本人に対して必要な情報提供を行い、本人がそれをよく理解した上で、明示の同意を得ることを原則とすべきとされています。上記の「誰が」「何を」「どのように」を明らかにした上で、同意を取得すべきとの意味であり、同意を取得するためのインタフェイスの例が示されています。

※2:https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」(令2/11/30)より

 

1.5. 誰が同意を取得すべきか

論点資料では、提供先(上記例の場合、ウェブサイトを運営するB社)が本人から同意を取得すべきとの考え方が示されています。論点資料で示されている理由は、次のとおりです。

  1. 本人が利用するウェブサイトを管理する提供先は、本人との接点を持っているのに対して、パブリックDMPである提供元は通常、本人との接点を持っていないこと
  2. どのようなデータをどのような目的で利用するのか、より正確に説明できるのは提供先であること
  3. 提供先で同意を取得することにより、誰が利用主体であるか、本人が認識しやすいこと

ただし、論点資料は、提供元が同意取得を代行することも許容されるとしています。この場合には、「誰が」「何を」「どのように」利用するのかを本人が認識できる状況を確保することが必要であるとしています。

 

1.6. 同意取得の確認方法など(改正個人情報保護法)

論点資料では、同意の確認方法についていくつか注意すべき点が明らかにされています。
(提供先が同意を取得する通常の場合)提供元は、同意を取得したことについて、提供先の申告内容を一般的な注意力をもって確認すれば足りることとされています。提供先が同意を取得したと虚偽の申告をして、個人関連情報を個人データとして取得した場合、「不正取得」に該当する場合があるとされています。提供先から提供元に対して、本人同意を取得しているID等を提供する行為は、個人データの第三者提供に該当する場合があるが、改正法第26条の2第1項の確認行為において必要な情報のみを伝える場合には、法令に基づく場合(個人情報保護法第23条 第1項第1号)に該当し、これについて本人の同意取得は必要ないとされています。

論点資料には明記されていませんが、改正法による個人関連情報の第三者提供規制は、技術中立的に記述されており、パブリックDMPに限らず、他社から提供されるデータを自社データと突合して本人を識別できる場合には「個人情報」に該当し、改正法の規制が適用されることは言うまでもありません。また、このような提供を可能とする技術についても、サードパーティクッキーによる場合のほか、モバイルアプリにおいて端末を識別するためにオペレーティング・システムが提供する端末識別子(IDFA、AAIDなど)、デバイス・フィンガープリンティングによる端末識別など、様々な技術の利用が想定されます。

 

1.7. 適用されない可能性が高いケース

以下のケースについては、改正法による個人関連情報の第三者提供規制は適用されないと考えられます。

 

1.7.1. ターゲティング広告

ログイン認証を行わず、フォームなどで氏名・メールアドレスなどの個人情報を取得しないウェブサイトに広告エージェンシーが提供するタグを埋め込み、閲覧者のブラウザにサードパーティクッキーを設定して行うターゲティング広告については、個人関連情報の第三者提供規制は適用されないと思われます。

ログイン認証を行わないウェブサイトにおけるターゲティング広告の例

この例では、提供を受けるX社は、ブラウザを識別することはできますが、ブラウザを利用する個人を識別することはできず、提供先において個人データとして取得することが想定される場合という要件を満たしません。AないしD社は、ウェブサイトにサードパーティクッキーを設定するタグを埋め込むだけで、「個人関連情報データベースを事業のように供している」とは言えないと思われます。また、この例では、X社が直接、閲覧情報などの個人関連情報を取得しているので、AないしD社からX社への提供があるとは言えないと思われます。

ターゲティング広告に関連する別のケースとして、リアルタイム入札(RTB)に参加するDSP、SSPなどの事業者間で、個人を識別しない状態で閲覧者属性情報の提供が行われる場合があります。これらの事業者は、ブラウザIDやモバイル端末識別子などを共通のキーとする個人関連情報データベースを事業の用に供しており、RTBに関連して事業者間で個人関連情報の提供が行われていると言えます。しかし、RTBにおけるこのような情報提供においては、一般的には、提供先において個人を識別することはできず、したがって、提供されたデータを個人データとして取得するわけではないので、改正法の個人関連情報第三者規制が適用される可能性は低いと思われます。

個人情報保護委員会が今回の法改正について2019年12月に公表した制度改正対応でも、これらのターゲティング広告に関連するケースを規制対象として想定せず、広告業界の自主規制に委ねる立場を表明しています。このような自主規制の代表的なものは、一般社団法人・日本インタラクティブ広告協会(JIAA)が公表している「ターゲティング広告ガイドライン」※3 です。同ガイドラインは、透明性および利用者関与機会の確保の観点から、ターゲティング広告を行う場合、情報提供、安全管理、オプトアウト提供を事業者に求めています。

※3:https://www.jiaa.org/wp-content/uploads/2019/11/JIAA_BTAguideline.pdf

ただし、例外的に、ターゲティング広告RTBに参加するこれらの事業者が何らかの形で個人を識別しうる情報、例えば、氏名、メールアドレスなどを取得し、これらと照合して、閲覧情報、属性情報などを個人に紐付け得る場合、個人関連情報を個人データとして取得することになる可能性があります。この点について、個人情報保護委員会は、次に示すように、改正法の趣旨は、個人の権利利益の侵害を防止することにあり、提供先が積極的に照合行為を行わない限り、すなわち、提供された個人関連情報を、もっぱら匿名のターゲティング広告のために利用する場合においては、個人関連情報の第三者提供規制の適用対象とする必要はないのではないか、という方向で運用方針を検討しているようです。 この点は実務上重要なポイントなので、今夏に公開が予定されているガイドラインで明らかにされると思われます。

「個人データとして取得」の語義
本条における「個人データとして取得」の典型例として、個人関連情報を直接個人データに付加する場合が挙げられる。一方、直接個人データに紐付けて活用しないものの、別途、提供先が保有する個人データとの容易照合性が排除できない場合まで規律を適用するか、検討する必要がある。

改正法の趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにある。
容易照合性によって個人データになる場合は、提供先が積極的に照合行為を行わない限り本人を識別できないことから、適用対象とする必要はないのではないか。

そこで、本条における「個人データとして取得」は、提供先において、個人データに個人関連情報を付加する等、個人データとして積極的に利用しようとする場合に限られるとしてはどうか。

個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」(令2/11/30)より

 

1.7.2. ソーシャルプラグイン

ウェブサイトにソーシャルメディア(Facebook、Twitterなど)が提供するソーシャルボタンのタグを埋め込み、ソーシャルメディア上の当該閲覧者のタイムラインブラウザに閲覧情報を共有する場合も、個人関連情報の第三者提供規制は適用されないと思われます。

ソーシャルプラグインの例

この例では、提供を受けるY社は、アカウント管理によって本人を識別しています。しかし、AないしD社は、ウェブサイトにソーシャルプラグインを埋め込むだけで、「個人関連情報データベースを事業のように供している」とはいえないと思われます。また、この例では、Y社が直接、閲覧情報などの個人関連情報を取得しているので、AないしD社からY社への提供があるとは言えないと思われます。

 

2. 現行個人情報保護法等への対応

以上、改正法により新たに導入された個人関連情報の第三者提供規制が適用されることが想定されるケースを概観してきましたが、現行の個人情報保護法のもとにおいても、デジタルマーケティングにおけるデータ利用が規制を受ける場合があります。

 

2.1. クッキー(Cookie)をめぐる誤解

「クッキー(Cookie)は個人を識別しないから個人情報ではない」という説明をどこかでお聞きになったことがないでしょうか。このような説明は本当なのでしょうか。クッキー(Cookie)そのものは、ブラウザとサーバーとの間の通信状態を管理する実装技術の名称です。問題なのは、この技術によってウェブサイト管理者が取得し、利用する情報が個人情報であるかどうかが問題です。通常、クッキー(Cookie)を利用して利用者のブラウザに唯一識別子を付与するとしても、これにより自然人としての利用者が識別されるわけではありません。したがって、この状態では、たしかにクッキー(Cookie)を利用して取得したブラウザ識別子は、個人情報保護法によりその取扱が規制される個人情報ではないと言えます。

しかし、同じウェブサイトに用意されたウェブフォームで氏名、メールアドレスなど、個人を識別しうる情報を取得し、これらの情報とクッキー(Cookie)により取得したブラウザIDとを関係づけられるのであれば、状況は一変し、これらのすべての情報は、識別され得る個人に関する情報、つまり個人情報となります。また、これらの情報は通常、データベースとして体系的に組織化されるので、これを構成する個々のレコードは、「個人データ」としても規制対象となります。

 

2.2. デジタルマーケティングに関連して適用される現行法の規制

メールマガジンを発行するためにメールアドレスを取得したり、アカウント認証を行ったりすることにより、個人情報を取得するウェブサイトにおいて、プライベートDMP、MAツール、ウェブアクセス解析サービスなどのデジタルマーケテイングのためのツールを活用し、閲覧情報、購入情報などを取得、分析する場合には、これらのツールで取得するデータは、識別しうる個人に関する情報、すなわち現行の個人情報保護法においても個人情報となり、その取扱が規制の対象となる場合があります。このような場合には、以下の法遵守対応が必要です。

  • 利用目的の特定・通知(公表)
  • 通知(公表)した目的以外に利用しないこと
  • 通知(公表)した目的以外に利用する場合、本人の同意を取得すること
  • 第三者に提供する場合、原則として本人の同意を取得すること
  • 安全管理措置を講じ、従業員・委託先を適切に監督すること

このような状況をあらかじめ想定し、ウェブフォームで個人情報を取得する場合、ウェブサイト全体を通じて行っている個人情報の取扱全体について、ウェブサイト利用者に対する適切な情報提供などに配慮することが必要です。

 

3. おわりに

多数の事業者が複雑に関与するデジタルマーケティングの実務において、具体的なケースごとに、改正法の個人関連情報第三者提供規制が適用されるかどうかを見極めるのは困難であることが予想されます。データ利用方法によっては、現行法の個人情報の取扱に関する規制が適用される可能性もあります。いずれにしても、法が事業者に求めるのは、適切な情報提供のもとで本人関与の機会を確保し、個人の権利利益の侵害を防止することです。たとえ、法規制を受けない場合であっても、ダーク・パターンという言葉に象徴されるように、消費者が企業のデジタルマーケティングを見る目は厳しさを増しつつあります。企業にとって何よりも重要なことは、顧客および見込み顧客からの信頼を得ることであり、デジタルマーケティングに当たっては、常に透明・公正・本人関与の原則を意識する必要があります。

(執筆:鎌田 博貴)

 

個人情報保護法等関連条文

令和2年改正個人情報保護法

第17条第1項 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
第24条1項 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び第二十六条の二第一項第二号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
第24条第3項 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
第26条1項 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
第26条第3項 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

第26条の2第1項

個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

第26条の2第2項

第二十四条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。

第26条の2第3項

前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

令和2年改正個人情報保護法施行規則

第11条の2第1号 法第二十四条第一項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること。
二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
第16条第2項 法第二十六条第三項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第二十三条第二項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
第16条第3項 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第二十六条第三項の当該事項に関する記録に代えることができる。
第17条第2項 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第二十六条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第二十六条第三項の当該事項の記録を省略することができる。

第18条の2第3項

前二項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第二十六条の二第一項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

第18条の3第2項

法第二十六条の二第三項において読み替えて準用する法第二十六条第三項の記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。

第18条の4第2項

前項各号に定める事項のうち、既に前条に規定する方法により作成した法第二十六条の二第三項において読み替えて準用する法第二十六条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第二十六条の二第三項において読み替えて準用する法第二十六条第三項の当該事項の記録を省略することができる。

第18条の5

法第二十六条の二第三項において準用する法第二十六条第四項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間とする。
一 第十八条の三第三項に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して一年を経過する日までの間
二 第十八条の三第二項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して三年を経過する日までの間
三 前二号以外の場合 三年

おススメ

おススメコンテンツ

おススメeBook

おススメサービス

関連記事

  • 2021年 10月 13日
質問事例を見る
  • 2021年 8月 9日
GDPR条文解説