世界のプライバシー保護規制対応を支援するサイト

個人情報保護法ガイドラインQ&Aが更新される(個人関連情報の第三者提供制限編)


令和2年改正に伴うQ&Aの更新

個人情報保護委員会は、2021年9月10日、個人情報保護法の令和2年改正(2022年4月1日施行予定。以下、令和2年改正法を「法」という)に伴い、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下、「Q&A」という)を更新した。本稿では、このQ&Aのうち、今回新たに追加された「個人関連情報の第三者提供制限」(法第26条の2関連)に関するQ&Aを紹介する。

個人関連情報の第三者提供制限に関するQ&A 概要

「個人関連情報」について

個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう(法第26条の2)。この個人関連情報に関するQ&Aの主な内容は以下の通りである。

  • クッキー(Cookie)等の端末識別子は、通常、個人関連情報に該当する(他の情報と照合することで特定の個人を識別可能な場合は、当該情報と併せて個人情報に該当する)。
  • クッキー等の端末識別子は、家族等の特定少数の人が情報端末を共用している場合であっても、各人との関係で、個人関連情報に該当する。
  • メールアドレスは、ユーザー名・ドメイン名から特定の個人を識別可能な場合には単独で個人情報に該当し、また、他の情報と照合することで特定の個人を識別可能な場合には、当該情報と併せて個人情報に該当する。このようにメールアドレスが個人情報に該当する場合を除けば、メールアドレスは個人関連情報に該当する。

※個人情報:特定の個人を識別可能な情報又は個人識別符号(マイナンバー等)が含まれる情報

※個人データ:個人情報データベース等(特定の個人情報を検索することができるよう体系的に構成された情報の集合物)を構成する個人情報

法第26条の2の適用の有無について

個人関連情報の第三者提供制限は、令和2年改正により新設された規制である(法第26条の2)。その規制の内容は、個人関連情報取扱事業者(個人関連情報データベース等を事業活動において利用している民間事業者。以下「事業者」という)において、第三者が個人関連情報を個人データとして取得することが想定されるときは、本人からの同意取得や本人への情報提供(後者は外国にある第三者への提供の場合にのみ要求される)が行われていることを確認しないまま、当該個人関連情報を当該第三者に提供してはならない、というものである。この法第26条の2が適用されるか否かについてのQ&Aの主な内容は以下の通りである。

  • 提供先の第三者が個人関連情報を「個人データとして取得することが想定される」か否かは、個人関連情報の提供時点を基準に判断する。したがって、事後的に、提供先の第三者が個人関連情報を個人データとして利用したことが判明しても、提供元の事業者は違法とならない。
  • 第三者が個人関連情報を個人データとして取得することが想定されない場合は、本人からの同意取得や本人への情報提供等を行われていることを確認しなくとも、当該個人関連情報を当該第三者に提供することができる。
  • 提供元の事業者は、提供先の第三者が個人関連情報を「個人データとして取得することが想定される」か否かの判断に際して、一般に、提供先の第三者における個人関連情報の取扱いを確認する義務を負わない。もっとも、提供先の第三者の事業内容、取引状況、提供する個人関連情報の項目、提供先の第三者における個人データの利用状況等の客観的事情に照らし、提供先の第三者が個人関連情報を個人データとして利用することが窺われる場合には、提供先の第三者における個人関連情報の取扱いを確認した上で、「個人データとして取得することが想定される」か否かの判断をする必要がある。
  • 提供先の第三者が、提供元の事業者に対して、「提供を受けた個人関連情報を個人データとして利用しない」旨の誓約書を提出した場合は、法第26条2は適用されない
  • 個人関連情報の第三者提供については、個人データの第三者提供における例外規定(法第23条第5項各号)はないため、事業の承継や共同利用の場合であっても、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは法第26条の2が適用される。
  • 個人データの取扱いの委託に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、法第26条の2は適用されない。ただし、委託先が独自に取得した個人関連情報を当該データに付加した上で委託元に返す場合は、法第26条の2が適用される。
  • A社が自社のWebサイトにB社のタグを設置し、B社が当該タグを通じてA社Webサイトを閲覧したユーザーの閲覧履歴を取得しているというような場合、A社がB社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社はB社に閲覧履歴を「提供」しているとはいえず、法第26条の2は適用されない(B社は直接ユーザーから閲覧履歴を取得していることになる)。

なお、個人関連情報の第三者提供制限の詳細に関しては、以下の既報がある。

【改正個人情報保護法】デジタルマーケティングにおける個人関連情報第三者提供制限への対応〜クッキー(Cookie)制御が重要 | BizRis (iij.jp)

令和2年改正個人情報保護法 個人関連情報第三者提供制限ガイドライン案の重要ポイント〜 ウェブ/アプリ実装とクッキー(Cookie)の観点から読み解く | BizRis (iij.jp)

本人の同意等の確認の方法について

前項で述べた「本人の同意」や「本人への情報提供(提供先が外国にある場合に限る)」の確認(以下「【確認】」と表記する)方法に関するQ&Aの主な内容は以下の通りである。

  • 提供先の第三者が個人関連情報を個人データとして取得されることが想定される場合に、提供元の事業者が行うべき【確認】は、複数の本人につき一括して行うことができる。例えば、提供先のB社が、同意を取得した本人のIDのみをA社に提供すると事前に誓約し、その後、IDのリストをA社に提供した場合には、A社は、当該誓約及びIDのリストを確認することで、本人から同意を取得していることの確認を一括して行ったことになる。
  • 提供元の事業者は、既に【確認】を行った事項と内容が同一であるもの(当該【確認】について記録の作成及び保存をしている場合に限る)については、【確認】を省略することができる(施行規則第18条の2第3項)。反対に、例えば、提供元の事業者において、提供先の第三者がID及びWebサイトの閲覧履歴の取得につき包括的に本人の同意を得ていることを確認していることを前提に、当該提供元がIDと紐づく商品購買履歴を当該第三者に提供する場合は、商品購買履歴は既に確認を行った事項と内容が同一であるとは言えないため、本人からの同意を取得していることの確認を省略することはできない。

提供元における記録事項について

提供元の事業者が【確認】を行った場合、その記録を作成しなければならない(法第26条の2第3項・第26条第3項)。この記録は、提供の都度速やかに作成する必要があるが、提供先の第三者に対して継続的・反復して個人関連情報を提供する場合は、一括して作成することができる(施行規則第18条の3第2項)。この提供元における記録義務に関するQ&Aの主な内容は以下の通りである。

  • 提供先の第三者との間で基本契約を締結して、これに基づき継続的に又は反復して個人関連情報を提供する場合、この基本契約に係る契約書及びこれに付帯する資料等をもって記録とすることができる。例えば、(個人関連情報の提供開始時)契約書に、提供する個人関連情報の項目/提供期間の初日/提供先の第三者の名称・住所・代表者氏名を記載→(提供期間の終了後)個人関連情報の提供機関の末日、【確認】した旨を付帯資料に記載する、という方法により記録義務を履行したこととなる。

おわりに

令和2年改正法の施行日である2022年4月1日まで後半年という時期に差し掛かっている。関係事業者においては、今回更新されたQ&Aを参考に、該当するデータの特定や本人からの同意取得や本人への情報提供に関する実装等、各社の事業内容等に応じた改正法対応を行うことが求められる。

なお、今回更新されたQ&Aの「個人関連情報の第三者提供制限」以外のQ&Aについては、別稿において紹介予定である。

【個人情報保護委員会の公表資料】
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

【関連オンラインセミナー】

第21回オンラインセミナー「改正個人情報保護法とデジタルマーケティング: 個人関連情報の第三者提供制限を遵守する実装のポイントは?」 | BizRis (iij.jp)

関連記事