第3回:個人情報保護法の対象となる情報の拡大
コラム今回から、国会に提出されている個人情報保護法の改正内容をご紹介しながら、主に金融関連サービスの実務への影響について解説していきます。
最初に、個人情報保護法の「保有個人データ」の範囲が見直しされ、個人情報に関連して新たな概念が2つ定められましたので、これを解説します。
―「保有個人データ」の範囲の見直し
個人情報保護法(以下「法」という)では、本人を特定する情報である「個人情報」を定義し、利用目的の特定・変更・利用の制限を設け、取得に際しての利用目的の通知又は公表などの義務を定めています。さらに、個人情報をデータ化・体系化し、検索可能な体系に構成された「個人情報データベース等」となると、大量の個人データの取り扱いが想定されることから、内容の正確性の確保、安全管理措置、これを取り扱う従業者・委託先の管理、外国にある第三者への提供の制限、第三者提供に係る記録の作成・記録、第三者提供を受ける際の確認等の義務が追加されます。
個人を相手にする事業者は、これらの個人データを業務に利用し、取引に応じて内容を更新・修正・削除したり、外部に提供したりしますが、このような個人データは、「保有個人データ」として、情報保有や利用目的などの公表を行うとともに、保有個人データの開示請求対応、訂正・削除、利用停止等の請求に応じるべき義務が定められています。 今回の法改正案では、今まで「保有個人データ」に該当しなかった「6カ月以内に消去することとなる個人情報」が「保有個人データ」に含まれることとなりました。短期間しか保有しない個人データであってもその間に漏洩するリスクがあり、そうなれば、個人の権利利益を侵害する可能性が高いとされ、適切に利用されているかチェックできるように開示等の権利を認めることとしたのです。
―短期保有データの「保有個人データ」化に伴う影響
法が成立し施行された後は、6カ月以内に廃棄する予定の個人データも「保有個人データ」として扱うことになります。今まで、顧客へのアンケートにより取得した情報をデータ化したり、キャンペーン・懸賞などに応募された方の情報を名前順に整理するなどデータ化したりしても、短期間の限定された目的での利用であれば開示などの対象である「保有個人データ」ではありませんでした。したがって、社内規定でも保有個人データとしての取り扱いから免除されていたと考えられますが、見直しが必要です。
6カ月以内に廃棄する予定の個人データの例として他にも、企業の採用サイトに登録した就活生の情報、問合せに対応する電話対応の通話記録やチャットのデータ、ATMの監視カメラの画像データなどがあります。これらのデータについて、開示対応をする手続や運用を新たに検討する必要がありますが、中には開示することで業務上の支障がある情報も考えられることから、非開示の例外規定を設けることが必要です。
なお、アンケートやキャンペーンを行う際に、例えば、希望に合致する分野の金融商品の案内に用いるなど、利用目的を明記して個人情報を収集し、保有個人データとして管理するということも考えられます。
―「仮名加工情報」と「個人関連情報」の概念が追加
今回の改正では、「個人情報」に該当するものと「匿名加工情報」の中間的な概念として新たに、「仮名(かめい)加工情報」という概念が追加されました。さらに、個人情報ではないユーザーデータについてその利用実態に着目して、「個人関連情報」という新しい概念も設けられています。
【今回改正後の個人に関する情報の整理】
| 定義 | |
| 個人情報 | 生存する個人に関する情報であって➀②のいずれかに該当するもの ➀氏名、生年月日その他の記述等により特定の個人を識別することができるもの ②個人識別符号が含まれるもの |
| 仮名加工情報 | 個人情報の区分に応じて➀②に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報 ➀当該個人情報に含まれる氏名等の本人を特定する記述等の一部を削除する。 ②個人識別記号の全部を削除する。 |
| 匿名加工情報 | 個人情報の区分に応じて➀②に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの ➀当該個人情報に含まれる氏名等の本人を特定する記述等の一部を削除する。 ②個人識別記号の全部を削除する。 |
| 個人関連情報 | 生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの |
―なぜ「個人関連情報」にも規制が及ぶのか
法案の定義では、「個人関連情報」がどんなものかピンときませんが、一言でいえば、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」のことです。
例えば、インターネットのWebブラウザに記録されるCookieやIPアドレス等に個人に関する情報を紐付けて提供する方法では、CookieやIPアドレスは個人識別符号には該当しないため、提供元においては個人情報に該当しません(「提供元基準」)。したがって、この情報を第三者に提供しても「個人データの第三者提供の制限」の規律が該当しません。しかし、提供を受けた事業者側でCookieやIPアドレスと他の情報を照合することにより個人を特定できるとすれば個人情報になります。これは現行法でもそう解釈されていましたが、このスキームを放置することに「改正大綱」において懸念が示されていました。そこで、提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになる場合(「提供先基準」)について、個人データの第三者提供を制限する規律を適用すべきものとされていました。
これを受けて改正法案26条の2では、提供元基準では個人情報に該当しない個人関連情報であっても、「第三者が個人データとして個人関連情報を取得することが想定されるとき」は、個人関連情報取扱事業者は、提供先で本人の同意を得ていることを確認し、確認記録を作成し保存することが義務づけられました。
―個人関連情報の規制により留意するべきポイントあるか
個人関連情報の規制の経緯から、対象は、Cookie、IPアドレスなどの端末識別子を利用する場合の規制だけのように見えますが、顧客番号、契約者・端末固有IDなどの識別子情報はもちろん、郵便番号、メールアドレス、性別、職業、趣味、位置情報、閲覧履歴、購買履歴といったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられます。
インターネット上での商品やサービスの提供、データベースの利用に伴う閲覧情報、位置情報、懸賞やアンケートに伴うポイント等の提供に際して収集した情報を蓄積・統合・分析を行うなど、DMP(Data Management Platform)を利用した行動ターゲティング広告を利用する例もあります。DMPの利用に際しては、個人データ利用の委託として扱っていることが多いと思われますが、今後は、CookieやIPアドレス等に紐づいた閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を取得することが必要になります。
なお、「第三者が個人データとして個人関連情報を取得することが想定されるとき」の要件は抽象的で不明確であり、確認する方法も明確ではありませんので、法案制定後に改定される個人情報保護ガイドライン等に注目する必要があります。
本改正は、すでに個人情報保護委員会の勧告・改善が出された事案に関するものであることから、提供事業者になる場合は個人関連情報を個人データとして取得することが想定される提供先企業に対して、現時点でも本人の同意を得られていることを表明保証の対象としたり誓約書の提出を求めたりする方法が考えられます。
仮名加工情報については、次回に解説します。
※本内容の引用・転載を禁止します。
