個人情報保護を取り巻く範囲は広いです。ここでは、国内向け事業に携わる企業Web担当者が優先的に把握しておきたい要点を中心に押さえていきます。個人情報保護をはじめ、知的財産やIT分野に詳しい田中浩之弁護士に話をうかがいました。
- 田中浩之先生
- 第二東京弁護士会・弁護士、ニューヨーク州弁護士(森・濱田松本法律事務所) /著書に、編著者で『60分でわかる! 改正個人情報保護法 超入門』(技術評論社刊)など。 https://www.mhmjapan.com/ja/people/staff/709.html
成立から20年が経過。定期的な法改正の可能性あり
最初に法律の背景や経緯を一通り押さえておきましょう。「個人情報の保護に関する法律」(以下、略称の「個人情報保護法」と記載)とは、「個人」を保護するための法律です。第1条には「個人情報保護法は、(略)個人の権利利益を保護することを目的としています」と定められており、個人“情報”を保護するという書き方をしていません。この法律は、個人情報の取り扱いに規制を設けることで、「個人を守るための法律」であると、まず理解しておきたいです。
そもそもの制定の背景は、OECD(経済協力開発機構)プライバシーガイドラインが勧告された1980年に遡ります。世界的に共通したプライバシーに関するこの原則に基づき、世界各国とともに日本も、これを踏まえた法整備を進めました。
当初は、行政機関向けの法律と民間事業者向けの条例に分かれていましたが、2003年5月には、民間分野に関する法律として個人情報の保護に関する法律が新たに成立し、2005年4月から全面施行されました。
施行後、経過する中でたびたび改正されたほか、平成27年改正法(2015年)からは、施行後3年ごとを目処に法律の見直し規定が設けられて、今後も定期的な法改正の可能性があります。
個人情報保護法の背景や経緯
個人情報の範囲は、個別項目だけで判断しない!
まず迷うのが、個人情報の範囲でしょう。名前や電話番号はそれっぽいが、任意のサービスサイトのIDや購買履歴、性別などは、単体なら誰のことかわかりません。これらは個人情報になるのでしょうか? ポイントは、各項目を個別で判断しないことです。名前など特定の個人に紐づく情報の場合、各項目が総体として個人情報の扱いになります。
また、特定の個人を識別できる要件には、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」(法第2条第1項)と定められています。例えば、購買履歴のデータベース(DB)だけでは誰のことだかわからずとも、顧客IDと同社内の別の顧客DBが容易に照合できれば(容易照合性)、購買履歴DB内も特定の個人を識別可能で、その状態は総体として個人情報となります。
個人情報を扱う各場面で、さまざまな規制が存在する
個人情報は、「生存する個人に関する情報」(法第2条)と定めています。この前提を踏まえ、個人情報を取り扱うさまざまな場面で規制がかかります。各場面とは、個人情報の「取得」、「利用」、「保管」、「提供」、「廃棄」といった過程ごとを指します。
例えば「取得」では、事業者が個人情報を取得する際、偽りや不正なき適正取得の義務が課されます。また、本人の同意が必須の要配慮個人情報(人種、病歴、犯罪歴などを含む情報)を除けば本人同意は不要ですが、利用目的の特定が必要で、本人への通知や公表などが求められます。
「提供」では、個人データの第三者提供の際、原則、事前に本人同意を得る必要があります(例:プライバシーポリシーなどを用意して、同意を取得)。データ不要時は、消去の努力義務も課されます(「廃棄」)。
「容易照合性」のある情報は「個人情報」
単体なら個人情報ではないがクッキーの扱いには要注意
企業のWeb担当者が特に気になるのが、クッキー(Cookie。Webサイトアクセス時のユーザーの履歴データなど)の扱いでしょう。日本では、クッキー単体だと特定の個人を識別できず、個人情報にはあたりません。ただし、ログイン中の会員情報などと紐づくクッキーであれば、特定の個人を識別できる状態となり、クッキーで収集された閲覧履歴などのデータは個人情報になります。そうなると、個人情報保護法に関する全面的な義務がかかってきます。
またクッキーは、2023年6月16日施行の改正電気通信事業法の適用を受ける事業者だと、外部送信規律という規制も受けます。各種情報のオンライン提供が規制対象の類型に含まれていますので、例えば、オウンドメディアを運営する場合には、適用対象に含まれる可能性があります(詳細はP066)。
プライバシーポリシーへの記載“だけ”では本人同意とならず
昨今、「プライバシーポリシー」(以下、PP)が用意されたWebサイトをよく見ます。PPには、組織として個人データ漏洩防止の安全管理措置などをまとめた基本方針はじめ、個人データの利用目的、第三者提供や越境移転(外国への第三者提供)などについて記載していきます。PPは、個人情報保護の義務を果たす上で公開できると便利ですが、PP自体は個人情報保護法に出てきません。各事業者のPPを見比べると、法的に必須な項目に加え、「いかに自社がプライバシーに配慮しているか」を示す内容も記載していたりします。
注意してほしいのが、PPへの記載だけでは本人同意とはみなされないことです。PPの内容に同意したとわかるアクション(例えば、ポップアップでPPへの同意を、Yesボタンを押して示すこと)も必要になります。
まとめ
●施行後3年ごとを目処に法律の見直し規定があるため、法改正にも注視
●情報を個別、項目単体で判断しない
●個人データの第三者提供では、原則、事前に本人の同意が必須
先生に聞くQ&A
Q_個人データをクラウドサービスで扱ってもいいの?
A_クラウド例外にあたるか、またはクラウド事業者を委託先として管理する場合は可能です
クラウドサービスを利用する場合、個人データがクラウドサーバ側に保管されることになります。例えば、当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、本人の同意が必要な第三者提供(法第27条第1項)や委託(法第27条第5項第1号)に該当しないことになります。これを一般には「クラウド例外」などと呼んでいます。
ここで言う、個人データを「取り扱わないこととなっている場合」とは、契約条項によって当該クラウドサービス提供事業者が、サーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合などとされています。つまり、クラウドサービス提供事業者側の主観的な判断ではなく、契約条項やアクセス制御によって、客観的に決まります。
Q_クッキーの取り扱いと、改正電気通信事業法の関係は?
A_個人情報保護法とは別の法律になりますが、クッキーを扱う際に、気にしてほしい法律です
この法律は、電気通信事業者(=登録・届出が必要)または第3号事業を営む者(=登録・届出は不要)のうち、総務省令で定める者にのみ適用されます。この規律が適用される場合、同法に従った情報提供が必要です。
手段は、外部送信規律に関する情報提供ページの設置や、クッキーポリシーの利用が考えられます。同法は、クッキーの利用についてオプトイン同意(同意した場合にのみクッキーを実行)やオプトアウト(本人が希望しない場合、クッキーの実行停止)をすることはオプションで、法的義務ではありません。もっとも、ユーザーのプライバシーへの配慮や外国の厳格な規制対応とのバランスから、日本企業も、日本向けについてもクッキー管理ツールを導入し、ユーザーにオプトアウトの機会を付与したり、オプトイン同意を得る対応をする例もあります。
Q_提供元でデータを加工すれば第三者提供規制の対象にならない?
A_提供元で提供する部分と他の情報と容易に照合でき、それにより特定の個人が識別可能なら、規制の対象です
個人データを提供する側が、その社内で加工したデータ(加工後のデータでは個人を識別できない状態)を別の事業者に提供したとします。ここでは、個人情報保護委員会の見解・通説である「提供元基準説」で考える必要があります。
相手(第三者)には、名前を削除して特定の個人を識別できないデータで提供しても、提供元で提供する部分とその他の情報を容易に照合でき、これにより特定の個人を識別できるため、個人データの第三者提供規制がかかります。つまり、提供時に原則として、本人の同意が必要になります。
次に、提供元には個人データを持っていない場合も考えてみましょう。令和2年改正法では「個人関連情報」という規制もできました。
例えば、A社が不特定多数のWeb上の行動履歴データを持っていたとします(それらの情報が「個人関連情報」にあたります)。
A社のデータは個人データではありませんが、A社のデータ内のIDをB社が共有し、B社側ではIDに紐づく個人データを持っていれば、A社からB社へのデータ提供(個人関連情報の提供)は、提供先が同意を取っていることを提供元が確認する義務を負うことになります。提供元と提供先双方の関係性から判断する必要があるのです。
扱いは、提供元と提供先の関係性で考えること!
