このトピックで書くのは約1年ぶりとなるが,ある論文が非常に興味深かったので紹介する。
こちらに掲載された若江雅子,森亮二,吉井英樹「オンライン広告におけるトラッキングの現状とその法的考察―ビッグデータ時代のプライバシー問題にどう対応すべきか」は,ネットで公開されている。↓
http://www.soumu.go.jp/main_content/000599872.pdf
クッキーの仕組みや,アドネットワーク,DMPなどの基本的なところはわかっている人はすべて飛ばしてよい。
昨年,個人情報保護委員会がFacebookに対して行った行政指導に関する解説も興味深いが,ここでは,16頁以下の「6.提供先で個人情報性を獲得する提供行為の評価」という論点を取り上げる。
これは,ウェブサイトの運営者等が収集したデータが,当該事業者の下では「非個人データ」であっても,その提供先において保有するデータと紐づければ「個人データ」になるというケースにおいて,そのデータの提供について個人情報保護法23条の個人データの第三者提供に関する規制を適用すべきか,という論点である。
従来,JR東日本のSuica事例を念頭に,提供者において個人識別性を有する個人データの一部分を取り出して,提供した場合に,提供先において特定個人を識別できないのであれば,法23条の同意は必要か否かという議論が行われてきた(下図の上)。この点については,いわゆる提供元基準説が通説となり,提供元において特定個人識別性を有すれば,規制の対象となるという考え方が確立しているといってよい。本論文で取り上げているのは,その逆パターンである(下図の下)。
本論文では,この点について,法23条の同意が必要とすべきか否かについて著者の意見が分かれたとされている(2:1で適用すべきということらしいが,誰が賛成なのかは明らかにされていない。)。これまでの実務は,「非個人データ」を提供するのであるから,法23条どころか,個人情報保護法の適用対象でないから,当然,同意も必要ないという考えのもとに回っていると思われる。著者が主張する法23条の同意を必要とする理由も,権利侵害の危険性を考えると,傾聴に値すべきものであるが,少なくとも現行法の下ではそこまで必要とすべきという解釈は導くのは困難であろう。
しかし,現実には,個人データを保有する事業者Aが,第三者から「非個人データ」の提供を受けて,突合することによって,保有する個人データをどんどんリッチなものにしていくという事象が起きている。その「本人」は,事業者Aに個人情報を保有されているというところまでは認識していたとしても,第三者から自分の属性・履歴等がどんどん集められているというところまでは気づいていないことが多い。少なくとも,事業者Aにおいては,プライバシーポリシー等で,データを取得することについての告知をし,法17条,18条に関する取得の規制をクリアしなければならない。
本論文では「特定の個人を識別する」という個人情報の核となる考え方についても,見直しが必要であろうと説く。パーソナルデータの取扱いにかかわる法務担当者は読んでおきたい論文である。
