世界のプライバシー保護規制対応を支援するサイト

令和2年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント〜 ウェブ/アプリ実装とクッキー(Cookie)の観点から読み解く


目次

【サマリー】
1.  定義
2. 提供制限規制の適用有無
3. 本人の同意の取得方法
4. 本人の同意等の確認方法
5. 提供元における記録義務
6. 提供先における確認義務・適正取得義務
7. 提供先の第三者における記録義務
8. おわりに
  個人情報保護法等関連条文

 

5月19日に開催された第174回個人情報保護委員会において、令和2年改正個人情報保護法改正法[1]のガイドライン案が配布され、同委員会公式ウェブサイトで公開された[2]。ガイドライン案は、通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編、認定個人情報保護団体編の5本から構成されている。これらのガイドライン案は、同日、e-Govに掲載され、6月18日までパブリック・コメントが受け付けられている[3]

IIJビジネスリスクマネジメントポータルでは、何回かに分けて、ガイドライン案で示された重要なポイントを解説する。今回は、デジタル・マーケティングに関係が深い個人関連情報第三者提供制限に関するガイドライン案の重要ポイントを解説する。このガイドライン案には、ウェブサイトやアプリにおける遵守対応に貴重なヒントを与える記述も見られるので、それらについても読み解いていく。

 

[1] https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
[2] https://www.ppc.go.jp/aboutus/minutes/2021/210519/
[3] https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000069&Mode=0

 

【サマリー】

  • クッキー(Cookie)等により収集された不詳個人のウェブサイト閲覧、アプリにおける行動、商品購買、サービス利用などに関する履歴、位置情報、これらから生成された当該個人の興味・関心等に関する属性情報は、個人情報保護法改正法における個人関連情報である。
  • 「個人データとして取得する」とは、提供された個人関連情報を、共通IDを介するなどして、自社保有データに付加し、全体を個人データとして利用しようとする場合。論点資料で提示されたパブリックDMPの例が典型的。サードパーティ・データをマーケティング等に利用する事業者は、注意が必要。
  • 提供先において自社保有個人データに結合して利用しない場合、両者の間に容易照合性があっても、「個人データとして取得する」場合には該当しない。
  • 「想定される」とは、現に認識する場合のほか、取引状況等の客観的事情に照らし、同種事業者の一般的な判断力・理解力を前提に、個人データとして取得することが通常想定できる場合を含む。例えば、提供先でのデータ統合を可能とする共通ID等を個人関連情報と併せて提供する場合、個人データとしての取得が想定される。
  • 提供元・提供先間の契約において、提供された個人関連情報を個人データとして利用しないことが約定される場合、個人データとしての取得が想定されない。
  • 個人関連情報第三者提供制限規制が適用されるかどうかは、具体的なデータ利用の態様を詳細に検討して判断する必要がある。
  • 本人の同意を取得するのは、原則として、本人と接点を持ち、提供されたデータの利用主体となる提供先(通常はパブリッシャー等)である。
  • 同意取得の前提として、提供対象データ項目・利用目的について情報提供が必要である。
  • 提供元が同意を取得する場合、提供先を個別に特定して示さなければならない。
  • 多数の本人からの同意取得確認は、提供元からの一括申告によることができる。
  • 提供先において同意取得を誓約する書面を受領することによる同意確認も認められる。例えば、クッキーID、閲覧情報などを取得するためにパブリックDMPがパブリッシャーのウェブサイトに設定するサードパーティクッキーの設定可否について、パブリッシャーが実装するクッキーバナーにより本人が確実にコントロールできる場合、本人が同意した場合のみ、クッキーIDが設定され、ID統合により当該パブリッシャーの自社保有個人データと結合可能な個人関連情報を提供することができることになるはずである。このような実装により、ID連携可能な個人関連情報提供の対象となる本人については、確実に同意を取得していることを誓約する書面によっても、提供元の確認義務は履行しうると考えられる。
  • 同意確認等の記録は、提供元・提供先間の契約書、内部帳票、システム記録等によることもできる。
  • 記録には、同意確認、外国への提供に際して必要な情報提供の確認、提供年月日(一括記録の場合には始期・終期)、提供先名称等、具体的な提供データ項目などが必要。
  • 提供先には、個人データの提供を受けるものに課せられる確認・記録義務、適正取得義務が課せられる。
  • 提供先における記録には、同意を得た旨、提供先が外国にある場合において必要な情報提供を行ったこと、提供先名称等、取得する個人データにより識別される本人を特定する事項、提供を受けた個人関連情報の項目などが必要。
 

1. 定義

1.1. 個人関連情報の定義

個人情報保護法改正法において、個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。」と定義されている(改正法第26条の2第1項)。「個人に関連する情報」について、ガイドライン案は、「ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報」とする。ただし、氏名、生年月日などの記述により特定の個人を識別できる情報は個人情報に該当するので、個人関連情報には該当しないとしている。

個人情報保護法改正法ガイドライン案は、個人関連情報に該当する例として、以下を示す。

  • Cookie 等の端末識別子を利用して収集された、ある個人のウェブサイト閲覧履歴
  • 特定の個人を識別できないメールアドレス(例えばabc_123@example.com)に結び付いた、ある個人の年齢・性別・家族構成等
  • ある個人の商品購買履歴・サービス利用履歴
  • ある個人の位置情報
  • ある個人の興味・関心を示す情報

「ある個人」とは、氏名などが不詳であっても他の人とは区別できるネット上の個人を意味すると考えられる。4月7日の個人情報保護委員会に提出された「改正法に関するガイドライン等の整備に向けた論点(個人関連情報)」(以下、「論点資料」)では、パブリックDMPがクロスサイト行動履歴を提供するケースをこの規制が適用される典型的なケースとして紹介されている。

1.2. 個人関連情報取扱事業者

個人情報保護法改正法において、個人関連情報取扱事業者は、個人関連情報データベース等を事業の用に供している民間事業者とされている(改正法第26条の2第1項)。ガイドライン案は、「事業の用に供している」の「事業」とは、一定の目的をもって反復・継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わないとする。また、「個人情報関連データベース等」とは、特定の個人関連情報を検索することができるように体系的に構成した、個人関連情報を含む情報の集合物とする。

ガイドラインにおける上記の記述から、商業目的のウェブサイト又はモバイルアプリを運営する事業者(以下「パブリッシャー」)が、パブリックDMP、ソーシャルメディア、ネット広告エージェンシーなどのデジタルマーケティング関連事業者から提供されるタグ、プラグイン、SDK等をウェブサイト又はモバイルアプリに組み込むことによって、個人の閲覧履歴、購買履歴、行動履歴等の個人関連情報をデジタルマーケティング関連事業者が取得できるようにする場合においても、パブリッシャーはそのような取得の便宜を図っているだけであって、自ら個人関連情報データベース等を構築・運用しているわけではないので、個人関連情報取扱事業者には該当しないと考えられる。

反対に、論点資料で示されているパブリックDMPの例は、事業目的で閲覧履歴、購買履歴、行動履歴等をデータベースとして体系化し、事業目的をもって反復・継続してパブリッシャーに提供しているので、個人関連情報取扱事業者に該当する。

(論点資料で例示されている個人関連情報第三者提供のパターン)

 

2. 個人関連情報の提供制限規制の適用有無(個人情報保護法ガイドライン)

個人情報保護法改正法における個人関連情報第三者提供制限の規制は、提供先の第三者が個人関連情報を「個人データとして取得する」ことが「想定される」ときに適用される(改正法第26条の2第1項)。ガイドライン案は、「個人データとして取得する」かどうか、及び、「想定される」かどうかについて判断基準を示す。

2.1 「個人データとして取得する」

個人情報保護法改正法ガイドライン案は、「個人データとして取得する」とは、提供された個人関連情報を、提供先が既に保有する個人データに付加するなどして、全体を個人データとして利用しようとする場合をいうとする。提供される個人関連情報と自社保有データとに共通するID等を介して両者を結合する場合が例として示されている。論点資料で例示されたパブリックDMPからパブリッシャー等へのデータ提供においては、通常、クッキーシンク (Cookie Sync) 等の技術により、パブリックDMP及びパブリッシャーがそれぞれ発行元となるクッキーにより端末装置を識別するIDが統合・マッピングされ、提供された個人関連情報はパブリッシャーの自社保有データと結合されて全体が個人データとして利用されることになる。

一方、提供先の第三者が、提供を受けた個人関連情報を自社保有個人データに紐つけて利用しない場合には、これらの間の容易照合性(両者を容易に照合して特定の個人に関する情報とすることができること)が排除しきれない場合であっても、「個人データとして取得する」場合には直ちには該当しないとされる。例えば、次のようなケースが考えられる。パブリックDMPから提供された他社サイトの閲覧履歴をパブリッシャーが自社ウェブサイト閲覧情報と結合してコンテンツ・カスタマイズなどの目的で利用する。パブリッシャーはメールマガジンを発行しており、購読申込みウェブフォームに自社クッキーを設定することにより、個人を識別できるメールアドレスと自社クッキーIDとをマッピングでき、このようなデータとパブリックDMPから提供された個人関連情報を照合して全体を個人データとして利用することは容易にできる。しかしパブリッシャーがこのようなデータ結合を行わない場合には、「個人データとして取得する」場合には該当せず、本規制が適用されない。

2.2. 「想定される」

個人情報保護法改正法ガイドライン案では、提供先において個人データとして取得することが「想定される」のは、以下の2つの場合であるとしている。

  • 提供先が個人データとして取得することを提供元が現に認識している場合。ガイドライン案では、①ID統合によりデータ統合が可能であることを提供元が提供先に対して説明している場合、②提供先が自社保有データと結合して利用することを提供元に告げている場合が例示されている。
  • 提供先が個人データとして取得することが、取引状況等の客観的事情に照らし、同種事業者の一般的な判断力・理解力を前提とする認識を基準に、通常想定できる場合。ガイドライン案では、例として、提供先におけるID統合を可能とするID等を個人関連情報と併せて提供する場合を挙げている。

デジタル・マーケティングの目的のために、閲覧履歴・購買履歴等のサードパーティ・データが提供される場合、提供先であるパブリッシャーに対して、その利用方法の説明、提供先ファースト・パーティデータと統合するための実装方法の説明、ID統合のために必要な情報提供などが行われるのが通常であろう。このような場合、同業界の事業者の一般的判断力・理解力を前提とすれば、ガイドライン案で示された上記基準に照らし、提供先において個人データとして取得することが通常想定できると判断すべきであり、本規制が適用されると考えられる。

なお、個人情報保護法改正法ガイドライン案は、データ提供契約において、提供を受けた個人関連情報を個人データとして利用しないことが定められている場合には、個人データとして取得することが想定されないとしている。ガイドライン案では明らかにされていないが、パブリッシャー等においてID連携によりデータ統合を行いつつも、自社保有するメールアドレス等の個人データと突合せず、提供されたデータをもっぱら匿名アクセスのコンテキストにおけるコンテンツのパーソナライズに利用するような場合は、本規制は適用しないとの趣旨と考えられる。

以上のことから、個人関連情報第三者提供制限規制が適用されるかどうかは、具体的なデータ利用の態様を詳細に検討して判断する必要があると考えられる。

 

3. 本人の同意の取得方法(個人情報保護法ガイドライン)

ガイドライン案は、個人関連情報の第三者提供についての同意取得に当たっては、その判断に必要と考えられる合理的かつ適切な範囲の情報提供を行った上で、本人の同意を明確に確認できることが必要であるとする。このような同意は、本人が予測できる範囲において包括的に取得することもできるとされる。

3.1.  同意を取得する主体

個人情報保護法改正法ガイドライン案は、同意を取得する主体は、本人と接点を持ち、また、提供された個人関連情報を利用する主体となる提供先であるとしている。具体的な状況として、パブリックDMPとパブリッシャーとの関係を想定すると、パブリックDMPは通常、本人との直接の接点を持っておらず、ウェブサイトやアプリのユーザ・インタフェイスを持つパブリッシャーが情報提供及び同意取得に当たるのがより合理的な実装であることは容易に理解できる。ただ、ガイドラインは、同等の権利保護を前提に提供元による同意取得代行も認めている。

ガイドライン案は、いずれが同意を取得する場合も、同意取得の前提として、提供対象となるデータの項目及びその利用目的について本人への情報提供が必要であり、提供元が同意を取得する場合には、提供先を個別に特定しなければならないとしている。利用目的に関する情報提供の粒度について、例えば、提供される閲覧履歴を提供先が保有する個人データと結合し、これらのデータセットから本人の属性情報を生成し、これに基づいてウェブサイトのコンテンツをカスタマイズするために利用する、あるいは、カスタマイズした広告を表示するために利用するなど、提供先における具体的な利用目的について情報提供する必要があると考えられる。

3.2. 同意取得の方法

個人情報保護法改正法ガイドライン案は、同意取得方法の例として、提供される個人関連情報の項目及び利用目的を示した上で、同意の意思を表示する書面やメールを受領する方法、ウェブサイトでボタンをクリックする方法を示す。

 

4. 本人の同意等の確認方法(個人情報保護法ガイドライン)

4.1. 個人データとして取得することを認める旨の本人の同意が得られていること

同意確認方法として、個人情報保護法改正法ガイドライン案は、提供先における同意取得の場合、提供元が提供先から申告を受ける方法などによるものとし、多数の本人からの同意取得については、一括して申告を受ければ足りるとする。

申告に際し、同意を取得した本人のクッキーIDなど個人データをパブリッシャーがパブリックDMPに開示し、データ提供が許される本人の範囲を明らかにする運用が想定されるが、このような個人データの第三者提供は、法が求める本人同意確認に必要な範囲に限定される場合、法令に基づく個人データの第三者提供として、個人情報保護法(以下「法」)第23条の同意取得義務は適用されない。

ガイドライン案は、同意取得について提供先からの申告を受ける以外に、提供先において本人の同意を得ていることを誓約する書面を受領することによる同意確認も認める。例えば、クッキーID、閲覧情報などを取得するためにパブリックDMPがパブリッシャーのウェブサイトに設定するサードパーティクッキーの設定可否について、パブリッシャーが実装するクッキーバナーにより本人が確実にコントロールできる場合、本人が同意した場合のみ、クッキーIDが設定され、ID統合により当該パブリッシャーの自社保有個人データと結合可能な個人関連情報を提供することができることになるはずである。このような実装により、ID連携可能な個人関連情報提供の対象となる本人については、確実に同意を取得していることを誓約する書面によっても、提供元の確認義務は履行しうると考えられる。デジタル・マーケティングの現場においては、申告よりも、このような実装及び誓約による運用が便宜であり、採用されるケースが多くなると思われる。

4.2. 外国にある第三者への提供にあっては、必要な情報が当該本人に提供されていること

4.2.1. 提供先における情報提供義務・提供元におけるその確認

個人関連情報の提供先が外国に所在する場合、提供先において個人データとして取得することが想定されるときは、上述の本人の同意取得確認に加え、個人関連情報取扱事業者は、以下の情報が本人に提供されていることを確認しなければならない(法第26条の2第1項第2号)。外国でウェブサイトやアプリを管理運営する企業に対して、日本国内のパブリックDMPがサードパーティ・データを提供する場合などが想定される。

①当該外国の名称
②適切かつ合理的な方法により得られた当該外国における個人情報保護制度に関する情報
③提供先が講ずる個人情報保護措置に関する情報

情報提供方法及びその内容について、個人情報保護法改正法ガイドライン案は外国第三者提供ガイドラインを参照しており、同ガイドラインでは、以下が定められている。

  • 情報提供方法:例として、電子メール又は書面による情報提供、ホームページへの掲載
  • 情報提供内容:
    • 上記①②について、当該外国の州法に関する情報提供が本人の予測可能性の向上に資する場合、提供先が所在する州を示し、州単位での制度についても情報提供することが望ましいとされる。例えば、米国では、カリフォルニア州をはじめ、いくつかの州では重要な個人情報保護に関する法令が施行されているので、これらについて情報提供すべきと考えられる。
    • ②の「適切かつ合理的な方法」として、提供先に照会する方法、我が国又は外国の行政機関等が公表している情報を確認する方法が例示されている。
    • 外国における個人情報保護制度に関して提供すべき情報として以下が例示されている。
      • 当該外国における個人情報保護制度の有無
      • GDPRに基づく十分性認定国であること、CBPRシステム加盟国であることなど、当該外国における個人情報保護レベルの指標となりうる情報
      • OECDプライバシーガイドライン8原則に対応する権利義務の不存在の事例(例えば、利用目的限定原則の不存在、本人開示請求権の不存在など)
      • その他、本人の権利利益保護に重大な影響を及ぼし得る制度の存在(例えば、当該外国における公的情報収集活動への事業者の協力義務、データ・ローカライゼーション規制など)

提供先において上記の情報提供が行われていることについて、提供元は、以下の方法により確認しなければならないとされる。

  • 提供先が本人に対して情報提供を行う場合に使用している書面の提示を受ける方法
  • 提供先が上記の情報提供を行っているホームページの写しの提示を受ける方法
4.2.2. 契約等による相当措置確保の場合における情報提供義務の例外

以下のいずれかの場合には、上述の情報提供の必要はない。

1)【個人情報保護制度が十分な国の場合】提供先が我が国と同等の水準にあると認められる個人情報保護制度を有している外国にある場合。現在、EU27カ国、ノルウェー、アイスランド、リヒテンシュタイン及び英国がこのような国として個人情報保護委員会により指定されている。[4]これらの国は、「外国」に該当しない(法第24条第1項)。

2)【契約等により相当措置を確保している場合】提供元と提供先との間で、提供先における個人データの取扱いについて、適切かつ合理的な方法により、本人の権利利益の保護に必要な措置(具体的には、法第15条から第35条まで規定された措置)の実施が確保されていること(法第24条第1項、規則第11条の2第1号)。ガイドラインは、「適切かつ合理的な方法」として、提供元・提供先間の契約等、企業グループ内規則などを例示する。
つまり、契約等において、提供先の義務として、目的外利用の禁止、不適正な利用の禁止、利用目的の通知、安全管理措置、従業者の監督、委託先の監督、第三者提供の制限、保有個人データに関する事項の公表、個人の権利行使への対応などが記述されている場合である。
ただし、この場合には、以下の措置を講じなければならない(法第26条の2第2項、第24条第3項):

    • 提供先における相当措置の実施状況について提供元が定期的に(年に1回程度又はそれ以上の頻度で)確認すること。確認方法として、現地での確認、書面報告を受けることによる確認などの方法が、ガイドライン案が参照する外国第三者提供ガイドラインで例示されている
    • 提供先における相当措置の実施に影響を及ぼすおそれがある移転先の外国の制度の有無及び内容について定期的に確認すること。確認方法として、提供先に照会する方法、我が国や外国の行政機関が公表する情報を確認する方法が例示されている。相当措置の実施に影響を及ぼすおそれがある外国の制度の例として、当該外国において個人情報の国内保存義務に関する制度が存在し、事業者が本人からの消去等請求に対応できなくなる場合などが示されている。
    • 提供先における相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、措置の継続的な実施の確保が困難となった場合には、提供を停止すること。
      相当措置の継続的実施が困難となる場合に該当する例として、提供先が委託契約上の義務に違反して個人データを取り扱っている場合、提供先において重大な漏えい等が発生した場合などが示されている。

これらは、EUから米国に個人データを移転する場合の保護措置としてEU一般データ保護規則(GDPR)に規定された標準契約条項(SCC)の有効性に関する欧州司法裁判所のシュレムスII判決[5]で判示された内容と類似している。

3)【国際的枠組による認証を受けている場合】個人データの提供を受ける者が、個人情報保護に関する国際的枠組みに基づく認定を受けていること(法第24条第1項、規則第11条の2第2号)。具体的には、提供先が、APECのCBPR認証を取得している場合がこれに該当する。

 
[4] 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
https://www.ppc.go.jp/files/pdf/190123_h31iinkaikokuji01.pdf
[5] CJEU C-311/18 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CJ0311&qid=1608669176309

4.3. 既に確認を行った第三者に対する確認の方法

複数回にわたって同一の本人について個人関連情報を提供し、提供先において個人データとして取得される場合、(提供先による)本人からの同意取得及び本人への情報提供(4.2.の情報提供)について既に確認し、記録を作成・保存している場合には、当該記録の内容と同意取得及び情報提供の内容が同一であるものについては、確認を省略することができる(規則第18条の2第3項)。

 

5. 提供元における記録義務(個人情報保護法ガイドライン)

個人関連情報取扱事業者が個人関連情報を第三者に提供し、提供先において個人データとして取得されることが想定される場合、個人関連情報取扱事業者は、4.のとおり、①本人の同意を取得していること、②提供先が外国にある場合、必要な情報が提供されていることを確認し、その記録を作成しなければならない(法第26条の2第3項で準用される第26条第3項)。

5.1. 記録作成方法

記録は原則として個人関連情報を提供する都度、作成しなければならないが、特定の提供先に対して継続・反復して個人関連情報を提供する場合、一括して記録を作成することができる(規則第18条の3第2項)。個人情報保護法改正法ガイドライン案は、さらに、最初に作成した記録への追加記録、月ごとの記録作成、継続・反復する提供の対象期間の終了後の一括作成などの方法を認めている。

また、提供元又は提供先が、本人との契約に基づき物品・役務を提供し、これに関連して個人関連情報が提供される場合、契約書(本人-提供元間、提供元-提供先間、いずれも可)、提供元又は提供先の内部帳票、記録簿等(システム上の記録も含む)に①本人の同意取得、②外国にある提供先に関して必要な情報提供事項が記載されていれば、このような書面をもって記録とすることができるとされる。つまり、DMPとパブリッシャーとの間のサードパーティ・データの提供に係る契約書、内部帳票、システム記録などをもって記録とすることができると考えられる。

提供先(典型的にはパブリッシャー)が記録義務を代行することもできるとされる。この場合も提供元の記録義務は免責されるわけではない。

5.2. 記録すべき事項

次の項目を記録しなければならない。

  • 本人の同意が得られていることを確認した旨
  • 外国にある提供先への提供にあたっては、当該外国の名称、当該外国における個人情報保護制度に関する情報、提供先が講ずる個人データ保護措置に関する情報など、必要な情報提供が行われていることを確認した旨
  • 個人関連情報を提供した年月日(一括記録の場合には提供期間の初日及び末日)
  • 提供先の氏名・名称・住所・代表者氏名
  • 提供する個人関連情報の項目。例えば、ウェブサイトの閲覧履歴、商品購入履歴、年齢・性別などの情報項目。記載から提供された個人関連情報が分かる程度に具体的に記載しなければならず、「当社が有するいずれかの情報」などの記載では足りないとされる。

複数回にわたって同一の本人の個人関連情報を提供する場合、同一の内容を重複して記録する必要はない(規則第18条の4第2項)。令和2年改正法施行日前に作成した記録についても同様とされる。

記録の保存期間は、以下の区分に従って、保存期間が定められている(規則第18条の5)。

  • 契約書等による代替的記録:最後の提供から1年
  • 一括して作成した記録:最後の提供から3年
  • 上記以外の記録:3年
 

6. 提供先における確認義務・適正取得義務(個人情報保護法ガイドライン)

個人関連情報取扱事業者が個人関連情報を第三者に提供し、提供先において個人データとして取得する場合、提供先は、個人データの提供を受ける者に課せられる確認義務(法第26条第1項)の適用を受ける。

確認対象は、①提供元(個人関連情報取扱事業者)の氏名・名称・住所・代表者氏名、②提供元における取得の経緯とされているが、提供元においては提供対象情報を個人データとして取得しているわけではないので、②は確認対象とならないことが、個人情報保護法改正法ガイドライン案で明らかにされている。

提供先は個人データを取得するので、個人データの取得に関する規制の適用を受ける。したがって、提供先は、偽りその他不正の手段により個人関連情報を個人データとして取得してはならない(法第17条第1項)。ガイドライン案では、禁止される取得方法の事例として以下を示す。

  • 個人データとして利用する意図を隠して、本人の同意を得ずに個人関連情報を取得する場合
  • 提供先が、本人の同意を取得していることについて提供元に虚偽の申告をする場合
  • 本人の同意を代行取得する提供元が適切に同意取得していないことを知り、又は容易に知ることができるにも関わらず、個人関連情報を取得する場合
 

7. 提供先の第三者における記録義務(個人情報保護法ガイドライン)

個人関連情報取扱事業者が個人関連情報を第三者に提供し、提供先において個人データとして取得する場合、提供先は、個人データの提供を受ける者に課せられる記録義務(法第26条第3項)の適用を受ける。

原則として、提供先は、個人関連情報の提供を受けて個人データとして取得する都度、記録を作成しなければならないが、一定期間内に特定の個人情報取扱事業者から継続・反復して個人情報の提供を受けて個人データとして取得する場合、一括して記録を作成することもできる(規則第16条第2項)。

提供先が、本人との契約に基づき物品・役務を提供し、これに関連して個人関連情報取扱事業者から個人関連情報の提供を受けて個人データとして取得する場合、契約書等をもって記録とすることができる(規則第16条第3項)。パブリッシャーが本人にウェブサービスを提供する場合、当該サービスに関連する利用契約書、利用規約、約款、内部帳票、システム記録などを記録とすることができると考えられる。

記録すべき事項は、以下の通り(規則第17条)

  • 本人の同意が得られている旨
  • 提供先が外国にある場合、当該外国の名称、当該外国における個人情報保護制度に関する情報、提供先が講ずる個人データ保護措置に関する情報など、必要な情報提供が行われている旨
  • 提供先の氏名・名称・住所・代表者氏名
  • 当該個人データによって識別される本人の氏名その他本人を特定するに足りる事項。ガイドライン案では、本人ごとに番号、ID等を付して個人データを管理し、本人を特定できる場合には、これらの番号、ID等を記録すれば足りるとしている。
  • 提供を受けた個人関連情報の項目。例えば、ウェブサイトの閲覧履歴、商品購入履歴、年齢・性別などの情報項目。記載から提供された個人関連情報が分かる程度に具体的に記載しなければならず、「当社が有するいずれかの情報」などの記載では足りないとされる。

複数回にわたって同一の本人の個人関連情報を提供する場合、同一の内容を重複して記録する必要はない(規則第17条第2項)。令和2年改正法施行日前に作成した記録についても同様とされる。

記録の保存期間は、以下の区分に従って、保存期間が定められている(規則第18条の5)。

  • 契約書等による代替的記録:最後に提供を受けた日から1年
  • 一括して作成した記録:最後に提供を受けた日から3年
  • 上記以外の記録:3年
 

8. おわりに

個人関連情報第三者提供規制は、2022年4月に施行される。同意取得、確認、記録などの実装には相当の準備と時間を要すると思われるので、本規制の適用対象となる可能性があるDMPなどデジタル・マーケティング関連事業者、デジタル・マーケティング関連サービスの提供を受けるパブリッシャーにおいては、早めに遵守対応の準備を進める必要がある。

 

個人情報保護法等関連条文

令和2年改正個人情報保護法

第17条第1項 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
第24条1項 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び第二十六条の二第一項第二号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
第24条第3項 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
第26条1項 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
第26条第3項 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

第26条の2第1項

個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

第26条の2第2項

第二十四条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。

第26条の2第3項

前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

令和2年改正個人情報保護法施行規則

第11条の2第1号 法第二十四条第一項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること。
二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
第16条第2項 法第二十六条第三項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第二十三条第二項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
第16条第3項 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第二十六条第三項の当該事項に関する記録に代えることができる。
第17条第2項 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第二十六条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第二十六条第三項の当該事項の記録を省略することができる。

第18条の2第3項

前二項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第二十六条の二第一項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

第18条の3第2項

法第二十六条の二第三項において読み替えて準用する法第二十六条第三項の記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。

第18条の4第2項

前項各号に定める事項のうち、既に前条に規定する方法により作成した法第二十六条の二第三項において読み替えて準用する法第二十六条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第二十六条の二第三項において読み替えて準用する法第二十六条第三項の当該事項の記録を省略することができる。

第18条の5

法第二十六条の二第三項において準用する法第二十六条第四項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間とする。
一 第十八条の三第三項に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して一年を経過する日までの間
二 第十八条の三第二項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して三年を経過する日までの間
三 前二号以外の場合 三年

おススメ

おススメコンテンツ

おススメeBook

おススメサービス

関連記事

  • 2021年 9月 16日
質問事例を見る
  • 2021年 8月 9日
GDPR条文解説