令和2年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント〜 ウェブ/アプリ実装とクッキー(Cookie)の観点から読み解く


令和2年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント

目次

【サマリー】
1.  定義
2. 提供制限規制の適用有無
3. 本人の同意の取得方法
4. 本人の同意等の確認方法
5. 提供元における記録義務
6. 提供先における確認義務・適正取得義務
7. 提供先の第三者における記録義務
8. おわりに
  個人情報保護法等関連条文

web担当者は見た!!我が社のクッキーバナー導入奮闘記

OneTrustのクッキー同意管理ソリューション

CPRAに対応したクッキーバナー実装のポイント

 

5月19日に開催された第174回個人情報保護委員会において、令和2年改正個人情報保護法改正法[1]のガイドライン案が配布され、同委員会公式ウェブサイトで公開された[2]。ガイドライン案は、通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編、認定個人情報保護団体編の5本から構成されている。これらのガイドライン案は、同日、e-Govに掲載され、6月18日までパブリック・コメントが受け付けられている[3]

IIJビジネスリスクマネジメントポータルでは、何回かに分けて、ガイドライン案で示された重要なポイントを解説する。今回は、デジタル・マーケティングに関係が深い個人関連情報第三者提供制限に関するガイドライン案の重要ポイントを解説する。このガイドライン案には、ウェブサイトやアプリにおける遵守対応に貴重なヒントを与える記述も見られるので、それらについても読み解いていく。

 

[1] https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
[2] https://www.ppc.go.jp/aboutus/minutes/2021/210519/
[3] https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

 

【サマリー】

  • クッキー(Cookie)等により収集された不詳個人のウェブサイト閲覧、アプリにおける行動、商品購買、サービス利用などに関する履歴、位置情報、これらから生成された当該個人の興味・関心等に関する属性情報は、個人情報保護法改正法における個人関連情報である。
  • 「個人データとして取得する」とは、提供された個人関連情報を、共通IDを介するなどして、自社保有データに付加し、全体を個人データとして利用しようとする場合。論点資料で提示されたパブリックDMPの例が典型的。サードパーティーデータをマーケティング等に利用する事業者は、注意が必要。
  • 提供先において自社保有個人データに結合して利用しない場合、両者の間に容易照合性があっても、「個人データとして取得する」場合には該当しない。
  • 「想定される」とは、現に認識する場合のほか、取引状況等の客観的事情に照らし、同種事業者の一般的な判断力・理解力を前提に、個人データとして取得することが通常想定できる場合を含む。例えば、提供先でのデータ統合を可能とする共通ID等を個人関連情報と併せて提供する場合、個人データとしての取得が想定される。
  • 提供元・提供先間の契約において、提供された個人関連情報を個人データとして利用しないことが約定される場合、個人データとしての取得が想定されない。
  • 個人関連情報第三者提供制限規制が適用されるかどうかは、具体的なデータ利用の態様を詳細に検討して判断する必要がある。
  • 本人の同意を取得するのは、原則として、本人と接点を持ち、提供されたデータの利用主体となる提供先(通常はパブリッシャー等)である。
  • 同意取得の前提として、提供対象データ項目・利用目的について情報提供が必要である。
  • 提供元が同意を取得する場合、提供先を個別に特定して示さなければならない。
  • 多数の本人からの同意取得確認は、提供元からの一括申告によることができる。
  • 提供先において同意取得を誓約する書面を受領することによる同意確認も認められる。例えば、クッキーID、閲覧情報などを取得するためにパブリックDMPがパブリッシャーのウェブサイトに設定するサードパーティークッキーの設定可否について、パブリッシャーが実装するクッキーバナーにより本人が確実にコントロールできる場合、本人が同意した場合のみ、クッキーIDが設定され、ID統合により当該パブリッシャーの自社保有個人データと結合可能な個人関連情報を提供することができることになるはずである。このような実装により、ID連携可能な個人関連情報提供の対象となる本人については、確実に同意を取得していることを誓約する書面によっても、提供元の確認義務は履行しうると考えられる。
  • 同意確認等の記録は、提供元・提供先間の契約書、内部帳票、システム記録等によることもできる。
  • 記録には、同意確認、外国への提供に際して必要な情報提供の確認、提供年月日(一括記録の場合には始期・終期)、提供先名称等、具体的な提供データ項目などが必要。
  • 提供先には、個人データの提供を受けるものに課せられる確認・記録義務、適正取得義務が課せられる。
  • 提供先における記録には、同意を得た旨、提供先が外国にある場合において必要な情報提供を行ったこと、提供先名称等、取得する個人データにより識別される本人を特定する事項、提供を受けた個人関連情報の項目などが必要。
 

1. 定義

1.1. 個人関連情報の定義

個人情報保護法改正法において、個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。」と定義されている(改正法第26条の2第1項)。「個人に関連する情報」について、ガイドライン案は、「ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報」とする。ただし、氏名、生年月日などの記述により特定の個人を識別できる情報は個人情報に該当するので、個人関連情報には該当しないとしている。

個人情報保護法改正法ガイドライン案は、個人関連情報に該当する例として、以下を示す。

  • Cookie 等の端末識別子を利用して収集された、ある個人のウェブサイト閲覧履歴
  • 特定の個人を識別できないメールアドレス(例えばabc_123@example.com)に結び付いた、ある個人の年齢・性別・家族構成等
  • ある個人の商品購買履歴・サービス利用履歴
  • ある個人の位置情報
  • ある個人の興味・関心を示す情報

「ある個人」とは、氏名などが不詳であっても他の人とは区別できるネット上の個人を意味すると考えられる。4月7日の個人情報保護委員会に提出された「改正法に関するガイドライン等の整備に向けた論点(個人関連情報)」(以下、「論点資料」)では、パブリックDMPがクロスサイト行動履歴を提供するケースをこの規制が適用される典型的なケースとして紹介されている。

1.2. 個人関連情報取扱事業者

個人情報保護法改正法において、個人関連情報取扱事業者は、個人関連情報データベース等を事業の用に供している民間事業者とされている(改正法第26条の2第1項)。ガイドライン案は、「事業の用に供している」の「事業」とは、一定の目的をもって反復・継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わないとする。また、「個人情報関連データベース等」とは、特定の個人関連情報を検索することができるように体系的に構成した、個人関連情報を含む情報の集合物とする。

ガイドラインにおける上記の記述から、商業目的のウェブサイト又はモバイルアプリを運営する事業者(以下「パブリッシャー」)が、パブリックDMP、ソーシャルメディア、ネット広告エージェンシーなどのデジタルマーケティング関連事業者から提供されるタグ、プラグイン、SDK等をウェブサイト又はモバイルアプリに組み込むことによって、個人の閲覧履歴、購買履歴、行動履歴等の個人関連情報をデジタルマーケティング関連事業者が取得できるようにする場合においても、パブリッシャーはそのような取得の便宜を図っているだけであって、自ら個人関連情報データベース等を構築・運用しているわけではないので、個人関連情報取扱事業者には該当しないと考えられる。

反対に、論点資料で示されているパブリックDMPの例は、事業目的で閲覧履歴、購買履歴、行動履歴等をデータベースとして体系化し、事業目的をもって反復・継続してパブリッシャーに提供しているので、個人関連情報取扱事業者に該当する。

(論点資料で例示されている個人関連情報第三者提供のパターン)

 

2. 個人関連情報の提供制限規制の適用有無(個人情報保護法ガイドライン)

個人情報保護法改正法における個人関連情報第三者提供制限の規制は、提供先の第三者が個人関連情報を「個人データとして取得する」ことが「想定される」ときに適用される(改正法第26条の2第1項)。ガイドライン案は、「個人データとして取得する」かどうか、及び、「想定される」かどうかについて判断基準を示す。

2.1 「個人データとして取得する」

個人情報保護法改正法ガイドライン案は、「個人データとして取得する」とは、提供された個人関連情報を、提供先が既に保有する個人データに付加するなどして、全体を個人データとして利用しようとする場合をいうとする。提供される個人関連情報と自社保有データとに共通するID等を介して両者を結合する場合が例として示されている。論点資料で例示されたパブリックDMPからパブリッシャー等へのデータ提供においては、通常、クッキーシンク (Cookie Sync) 等の技術により、パブリックDMP及びパブリッシャーがそれぞれ発行元となるクッキーにより端末装置を識別するIDが統合・マッピングされ、提供された個人関連情報はパブリッシャーの自社保有データと結合されて全体が個人データとして利用されることになる。

一方、提供先の第三者が、提供を受けた個人関連情報を自社保有個人データに紐つけて利用しない場合には、これらの間の容易照合性(両者を容易に照合して特定の個人に関する情報とすることができること)が排除しきれない場合であっても、「個人データとして取得する」場合には直ちには該当しないとされる。例えば、次のようなケースが考えられる。パブリックDMPから提供された他社サイトの閲覧履歴をパブリッシャーが自社ウェブサイト閲覧情報と結合してコンテンツ・カスタマイズなどの目的で利用する。パブリッシャーはメールマガジンを発行しており、購読申込みウェブフォームに自社クッキーを設定することにより、個人を識別できるメールアドレスと自社クッキーIDとをマッピングでき、このようなデータとパブリックDMPから提供された個人関連情報を照合して全体を個人データとして利用することは容易にできる。しかしパブリッシャーがこのようなデータ結合を行わない場合には、「個人データとして取得する」場合には該当せず、本規制が適用されない。

2.2. 「想定される」

個人情報保護法改正法ガイドライン案では、提供先において個人データとして取得することが「想定される」のは、以下の2つの場合であるとしている。

  • 提供先が個人データとして取得することを提供元が現に認識している場合。ガイドライン案では、①ID統合によりデータ統合が可能であることを提供元が提供先に対して説明している場合、②提供先が自社保有データと結合して利用することを提供元に告げている場合が例示されている。
  • 提供先が個人データとして取得することが、取引状況等の客観的事情に照らし、同種事業者の一般的な判断力・理解力を前提とする認識を基準に、通常想定できる場合。ガイドライン案では、例として、提供先におけるID統合を可能とするID等を個人関連情報と併せて提供する場合を挙げている。

デジタル・マーケティングの目的のために、閲覧履歴・購買履歴等のサードパーティーデータが提供される場合、提供先であるパブリッシャーに対して、その利用方法の説明、提供先ファースト・パーティデータと統合するための実装方法の説明、ID統合のために必要な情報提供などが行われるのが通常であろう。このような場合、同業界の事業者の一般的判断力・理解力を前提とすれば、ガイドライン案で示された上記基準に照らし、提供先において個人データとして取得することが通常想定できると判断すべきであり、本規制が適用されると考えられる。

なお、個人情報保護法改正法ガイドライン案は、データ提供契約において、提供を受けた個人関連情報を個人データとして利用しないことが定められている場合には、個人データとして取得することが想定されないとしている。ガイドライン案では明らかにされていないが、パブリッシャー等においてID連携によりデータ統合を行いつつも、自社保有するメールアドレス等の個人データと突合せず、提供されたデータをもっぱら匿名アクセスのコンテキストにおけるコンテンツのパーソナライズに利用するような場合は、本規制は適用しないとの趣旨と考えられる。

以上のことから、個人関連情報第三者提供制限規制が適用されるかどうかは、具体的なデータ利用の態様を詳細に検討して判断する必要があると考えられる。

 

3. 本人の同意の取得方法(個人情報保護法ガイドライン)

ガイドライン案は、個人関連情報の第三者提供についての同意取得に当たっては、その判断に必要と考えられる合理的かつ適切な範囲の情報提供を行った上で、本人の同意を明確に確認できることが必要であるとする。このような同意は、本人が予測できる範囲において包括的に取得することもできるとされる。

3.1.  同意を取得する主体

個人情報保護法改正法ガイドライン案は、同意を取得する主体は、本人と接点を持ち、また、提供された個人関連情報を利用する主体となる提供先であるとしている。具体的な状況として、パブリックDMPとパブリッシャーとの関係を想定すると、パブリックDMPは通常、本人との直接の接点を持っておらず、ウェブサイトやアプリのユーザ・インタフェイスを持つパブリッシャーが情報提供及び同意取得に当たるのがより合理的な実装であることは容易に理解できる。ただ、ガイドラインは、同等の権利保護を前提に提供元による同意取得代行も認めている。

ガイドライン案は、いずれが同意を取得する場合も、同意取得の前提として、提供対象となるデータの項目及びその利用目的について本人への情報提供が必要であり、提供元が同意を取得する場合には、提供先を個別に特定しなければならないとしている。利用目的に関する情報提供の粒度について、例えば、提供される閲覧履歴を提供先が保有する個人データと結合し、これらのデータセットから本人の属性情報を生成し、これに基づいてウェブサイトのコンテンツをカスタマイズするために利用する、あるいは、カスタマイズした広告を表示するために利用するなど、提供先における具体的な利用目的について情報提供する必要があると考えられる。

3.2. 同意取得の方法

個人情報保護法改正法ガイドライン案は、同意取得方法の例として、提供される個人関連情報の項目及び利用目的を示した上で、同意の意思を表示する書面やメールを受領する方法、ウェブサイトでボタンをクリックする方法を示す。

 

4. 本人の同意等の確認方法(個人情報保護法ガイドライン)

4.1. 個人データとして取得することを認める旨の本人の同意が得られていること

同意確認方法として、個人情報保護法改正法ガイドライン案は、提供先における同意取得の場合、提供元が提供先から申告を受ける方法などによるものとし、多数の本人からの同意取得については、一括して申告を受ければ足りるとする。

申告に際し、同意を取得した本人のクッキーIDなど個人データをパブリッシャーがパブリックDMPに開示し、データ提供が許される本人の範囲を明らかにする運用が想定されるが、このような個人データの第三者提供は、法が求める本人同意確認に必要な範囲に限定される場合、法令に基づく個人データの第三者提供として、個人情報保護法(以下「法」)第23条の同意取得義務は適用されない。

ガイドライン案は、同意取得について提供先からの申告を受ける以外に、提供先において本人の同意を得ていることを誓約する書面を受領することによる同意確認も認める。例えば、クッキーID、閲覧情報などを取得するためにパブリックDMPがパブリッシャーのウェブサイトに設定するサードパーティークッキーの設定可否について、パブリッシャーが実装するクッキーバナーにより本人が確実にコントロールできる場合、本人が同意した場合のみ、クッキーIDが設定され、ID統合により当該パブリッシャーの自社保有個人データと結合可能な個人関連情報を提供することができることになるはずである。このような実装により、ID連携可能な個人関連情報提供の対象となる本人については、確実に同意を取得していることを誓約する書面によっても、提供元の確認義務は履行しうると考えられる。デジタル・マーケティングの現場においては、申告よりも、このような実装及び誓約による運用が便宜であり、採用されるケースが多くなると思われる。

4.2. 外国にある第三者への提供にあっては、必要な情報が当該本人に提供されていること

4.2.1. 提供先における情報提供義務・提供元におけるその確認

個人関連情報の提供先が外国に所在する場合、提供先において個人データとして取得することが想定されるときは、上述の本人の同意取得確認に加え、個人関連情報取扱事業者は、以下の情報が本人に提供されていることを確認しなければならない(法第26条の2第1項第2号)。外国でウェブサイトやアプリを管理運営する企業に対して、日本国内のパブリックDMPがサードパーティーデータを提供する場合などが想定される。

①当該外国の名称
②適切かつ合理的な方法により得られた当該外国における個人情報保護制度に関する情報
③提供先が講ずる個人情報保護措置に関する情報

情報提供方法及びその内容について、個人情報保護法改正法ガイドライン案は外国第三者提供ガイドラインを参照しており、同ガイドラインでは、以下が定められている。

  • 情報提供方法:例として、電子メール又は書面による情報提供、ホームページへの掲載
  • 情報提供内容:
    • 上記①②について、当該外国の州法に関する情報提供が本人の予測可能性の向上に資する場合、提供先が所在する州を示し、州単位での制度についても情報提供することが望ましいとされる。例えば、米国では、カリフォルニア州をはじめ、いくつかの州では重要な個人情報保護に関する法令が施行されているので、これらについて情報提供すべきと考えられる。
    • ②の「適切かつ合理的な方法」として、提供先に照会する方法、我が国又は外国の行政機関等が公表している情報を確認する方法が例示されている。
    • 外国における個人情報保護制度に関して提供すべき情報として以下が例示されている。
      • 当該外国における個人情報保護制度の有無
      • GDPRに基づく十分性認定国であること、CBPRシステム加盟国であることなど、当該外国における個人情報保護レベルの指標となりうる情報
      • OECDプライバシーガイドライン8原則に対応する権利義務の不存在の事例(例えば、利用目的限定原則の不存在、本人開示請求権の不存在など)
      • その他、本人の権利利益保護に重大な影響を及ぼし得る制度の存在(例えば、当該外国における公的情報収集活動への事業者の協力義務、データ・ローカライゼーション規制など)

提供先において上記の情報提供が行われていることについて、提供元は、以下の方法により確認しなければならないとされる。

  • 提供先が本人に対して情報提供を行う場合に使用している書面の提示を受ける方法
  • 提供先が上記の情報提供を行っているホームページの写しの提示を受ける方法
4.2.2. 契約等による相当措置確保の場合における情報提供義務の例外

以下のいずれかの場合には、上述の情報提供の必要はない。

1)【個人情報保護制度が十分な国の場合】提供先が我が国と同等の水準にあると認められる個人情報保護制度を有している外国にある場合。現在、EU27カ国、ノルウェー、アイスランド、リヒテンシュタイン及び英国がこのような国として個人情報保護委員会により指定されている。[4]これらの国は、「外国」に該当しない(法第24条第1項)。

2)【契約等により相当措置を確保している場合】提供元と提供先との間で、提供先における個人データの取扱いについて、適切かつ合理的な方法により、本人の権利利益の保護に必要な措置(具体的には、法第15条から第35条まで規定された措置)の実施が確保されていること(法第24条第1項、規則第11条の2第1号)。ガイドラインは、「適切かつ合理的な方法」として、提供元・提供先間の契約等、企業グループ内規則などを例示する。
つまり、契約等において、提供先の義務として、目的外利用の禁止、不適正な利用の禁止、利用目的の通知、安全管理措置、従業者の監督、委託先の監督、第三者提供の制限、保有個人データに関する事項の公表、個人の権利行使への対応などが記述されている場合である。
ただし、この場合には、以下の措置を講じなければならない(法第26条の2第2項、第24条第3項):

    • 提供先における相当措置の実施状況について提供元が定期的に(年に1回程度又はそれ以上の頻度で)確認すること。確認方法として、現地での確認、書面報告を受けることによる確認などの方法が、ガイドライン案が参照する外国第三者提供ガイドラインで例示されている
    • 提供先における相当措置の実施に影響を及ぼすおそれがある移転先の外国の制度の有無及び内容について定期的に確認すること。確認方法として、提供先に照会する方法、我が国や外国の行政機関が公表する情報を確認する方法が例示されている。相当措置の実施に影響を及ぼすおそれがある外国の制度の例として、当該外国において個人情報の国内保存義務に関する制度が存在し、事業者が本人からの消去等請求に対応できなくなる場合などが示されている。
    • 提供先における相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、措置の継続的な実施の確保が困難となった場合には、提供を停止すること。
      相当措置の継続的実施が困難となる場合に該当する例として、提供先が委託契約上の義務に違反して個人データを取り扱っている場合、提供先において重大な漏えい等が発生した場合などが示されている。

これらは、EUから米国に個人データを移転する場合の保護措置としてEU一般データ保護規則(GDPR)に規定された標準契約条項(SCC)の有効性に関する欧州司法裁判所のシュレムスII判決[5]で判示された内容と類似している。

3)【国際的枠組による認証を受けている場合】個人データの提供を受ける者が、個人情報保護に関する国際的枠組みに基づく認定を受けていること(法第24条第1項、規則第11条の2第2号)。具体的には、提供先が、APECのCBPR認証を取得している場合がこれに該当する。

 
[4] 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
https://www.ppc.go.jp/files/pdf/190123_h31iinkaikokuji01.pdf
[5] CJEU C-311/18 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CJ0311&qid=1608669176309

4.3. 既に確認を行った第三者に対する確認の方法

複数回にわたって同一の本人について個人関連情報を提供し、提供先において個人データとして取得される場合、(提供先による)本人からの同意取得及び本人への情報提供(4.2.の情報提供)について既に確認し、記録を作成・保存している場合には、当該記録の内容と同意取得及び情報提供の内容が同一であるものについては、確認を省略することができる(規則第18条の2第3項)。

 

5. 提供元における記録義務(個人情報保護法ガイドライン)

個人関連情報取扱事業者が個人関連情報を第三者に提供し、提供先において個人データとして取得されることが想定される場合、個人関連情報取扱事業者は、4.のとおり、①本人の同意を取得していること、②提供先が外国にある場合、必要な情報が提供されていることを確認し、その記録を作成しなければならない(法第26条の2第3項で準用される第26条第3項)。

5.1. 記録作成方法

記録は原則として個人関連情報を提供する都度、作成しなければならないが、特定の提供先に対して継続・反復して個人関連情報を提供する場合、一括して記録を作成することができる(規則第18条の3第2項)。個人情報保護法改正法ガイドライン案は、さらに、最初に作成した記録への追加記録、月ごとの記録作成、継続・反復する提供の対象期間の終了後の一括作成などの方法を認めている。

また、提供元又は提供先が、本人との契約に基づき物品・役務を提供し、これに関連して個人関連情報が提供される場合、契約書(本人-提供元間、提供元-提供先間、いずれも可)、提供元又は提供先の内部帳票、記録簿等(システム上の記録も含む)に①本人の同意取得、②外国にある提供先に関して必要な情報提供事項が記載されていれば、このような書面をもって記録とすることができるとされる。つまり、DMPとパブリッシャーとの間のサードパーティーデータの提供に係る契約書、内部帳票、システム記録などをもって記録とすることができると考えられる。

提供先(典型的にはパブリッシャー)が記録義務を代行することもできるとされる。この場合も提供元の記録義務は免責されるわけではない。

5.2. 記録すべき事項

次の項目を記録しなければならない。

  • 本人の同意が得られていることを確認した旨
  • 外国にある提供先への提供にあたっては、当該外国の名称、当該外国における個人情報保護制度に関する情報、提供先が講ずる個人データ保護措置に関する情報など、必要な情報提供が行われていることを確認した旨
  • 個人関連情報を提供した年月日(一括記録の場合には提供期間の初日及び末日)
  • 提供先の氏名・名称・住所・代表者氏名
  • 提供する個人関連情報の項目。例えば、ウェブサイトの閲覧履歴、商品購入履歴、年齢・性別などの情報項目。記載から提供された個人関連情報が分かる程度に具体的に記載しなければならず、「当社が有するいずれかの情報」などの記載では足りないとされる。

複数回にわたって同一の本人の個人関連情報を提供する場合、同一の内容を重複して記録する必要はない(規則第18条の4第2項)。令和2年改正法施行日前に作成した記録についても同様とされる。

記録の保存期間は、以下の区分に従って、保存期間が定められている(規則第18条の5)。

  • 契約書等による代替的記録:最後の提供から1年
  • 一括して作成した記録:最後の提供から3年
  • 上記以外の記録:3年
 

6. 提供先における確認義務・適正取得義務(個人情報保護法ガイドライン)

以降のコンテンツは会員限定となりますのでログインしてご覧ください。
※無料会員でご覧になれます。

コンテンツをご覧になるにはログインが必要です

ログイン

関連記事

個別説明をお申込希望の方

個別説明をお申し込み希望の方は以下のフォームをご記入の上、送信ボタンを押してください

*のある項目は入力必須です。