2か月半ぶりの投稿となる。ブログ解説して15年,こんなに間が空いてしまったことは初めてで,特に多忙だったというわけでもないのだけれど,気づいたらサボり癖がついてしまった。
今回のお題は,題名のとおり,新設される「個人関連情報」に関するものだ。
令和2年度・個人情報保護法の改正案
3月10日に個人情報保護委員会から,個人情報保護法の改正法が閣議決定され,今年の通常国会に提出されるという発表があった。
昨年12月のブログ記事(下記)にも書いたとおり,個人情報保護法は,平成27年改正時に「施行後3年毎に」見直すという附則があり,それを踏まえて,改正の範囲,要否が検討されてきた。
そして,改正大綱の発表,パブコメを経て,今月に改正案が閣議決定された。順調にいけば,今年の通常国会で成立する。
「個人関連情報」爆誕
今回の改正項目も比較的多岐に渡るので,このエントリでは「個人関連情報」に絞る(それだけでも整理が大変だ。)。ご承知のとおり,個人情報保護法では,個人に関連する情報の中を,「個人情報」「個人データ」「保有個人データ」という3段階の情報で整理し,それぞれに規律を設けるというスタイルになっていた。そして,平成27年改正では,これに「要配慮個人情報」と「匿名加工情報」が加わった。今回の改正案では,さらに「個人関連情報」と「仮名加工情報」*1が加わる。
個人関連情報は,「提供者の下では個人データではないが,提供先で個人データとなることがわかっている場合」を規制するために生み出された概念である。すなわち,前記の大綱24頁にもあるように,主にインターネット広告の分野で,
一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「DMP(Data Management Platform)」と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。
という事象があり,それに対して
いわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する
という規制を定めるために生まれた。
「個人関連情報」の定義
個人関連情報の定義は比較的明確であるが,書きぶりがわかりにくい。まず,新設条文の頭の部分だけを抜き出してみると,
(個人関連情報の第三者提供の制限等)
第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、(以下略)
と,すさまじい入れ子構造になっている。「個人関連情報取扱事業者」を定義するために,「個人関連情報データベース等」が必要になり,その定義のために,「個人関連情報」の定義が必要になったというわけだ。この構造は,個人情報取扱事業者,個人情報データベース等,個人情報の関係に類似しているが,2条の定義条文で定めず,26条の2第1項の中で一気に処理しようとしたために,このような形になった模様だ。
要は,「生存する個人に関する情報」ではあるが,個人情報でもなく,匿名加工情報,仮名加工情報でもない情報なので,特定の個人を識別できないようなものが該当する。
大綱の中で言われていた「クッキー等の識別子に紐付く個人情報ではないユーザーデータ」を捕捉しようというものである。
規律の内容 ―「想定」「確認」―
具体的に,「個人関連情報」を取り扱う事業者は,何をしなければならないか。先ほどの条文の続きとなるが,
第26条の2 個人関連情報取扱事業者(略)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 (略)
となっており,個人関連情報を第三者提供するにあたっては,あらかじめ提供先において,個人データの一部に組み込まれることについて同意を得ていることを確認することが求められている。
提供元では,本人を特定できていないのだから,同意を取りようがないが,提供先できちんと同意を取っていることを確認しなければならないとする。提供先の視点で見れば,第三者から個人関連情報を取得して自らの個人情報データベースに格納していくことは,「取得」の一場面であり,個人情報の取得には同意を必要としないのが原則ではあるが*2,こういった形で取得する場合には本人の同意を得なければならなくなる。そして,提供元において,その同意を取ったかどうかを確認した上でなければ,個人関連情報を提供できない。
「想定」される場合に限定されているので,たまたま個人関連情報を提供したら,提供した先で特定個人と紐づけられた,というような場合は対象外となる。どの程度まで予想できたら「想定」と言えるのかどうかは,今後,個人情報保護委員会のガイドライン等で指針が示されると思われるが,かなり難度が高そうだ*3。
また,「確認」の方法も,委員会規則で定められることになっている。「確認」については,平成27年改正で新設された「第三者提供を受ける際の確認等」(26条)ですでに用いられているので,ある程度のイメージはつくが。