コラム

インターネットと個人情報

2020改正個人情報保護法の要点1:提供先で個人データとなる情報の規制

はじめに
2020年改正個人情報保護法の重要ポイントの1つとして、Cookie情報等に対する規制が新設されたことが挙げられます。本コラムでは、背景事情を踏まえて、どのような改正が行われたについて説明していきます。

改正の背景
改正の背景として、「リクナビ」が 、内定辞退率を提供するサービスを運営していた問題があります。具体的には、以下のように「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報 」の提供が本人の同意なしに行われていました。
――
2018 年度卒業生向けの「リクナビ 2019」におけるサービスでは、個人情報である氏名の代わりに Cookie で突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
――

提供元基準vs提供先基準
個人情報保護法は、各事業者が「個人データ」を適切に取り扱うことを求めています。このため、提供元が保有しているのが「個人データ」であれば、外部に提供する部分単独では個人情報を成していなくても、個人情報の提供として扱う必要があります(提供元基準)。
要するに、自社で個人データとして管理している情報は、加工して個人を識別できないようにしても、第三者へ提供するには個人情報保護法上の第三者提供の手続きをとらなければならないのです(匿名加工情報にあたる場合を除きます。)。

他方で、提供元において個人データにあたらなければ、提供先では個人情報にあたることが明白な情報(例:リクナビ問題のcookie情報)であっても、提供元では個人データとして扱わなくて良いとされていました。
なお、提供先で個人情報にあたる情報も個人情報と考える見解を提供先基準と呼びますが、現段階では政府見解としては採用されていません。

本改正の内容
ア 用語
「個人関連情報」という用語が創設されました。Cookie情報、IPアドレス、端末IDといった個人に関連するが、特定の個人を識別できない情報がこれに該当すると考えられています。
イ 規制
<提供先の規制>
個人関連情報の提供先(例:リクナビの利用企業)は、個人関連情報(例:Cookieに紐づく閲覧履歴等)を、個人情報として取得する(自社の保有情報と突合することで個人が識別される)ことが想定されるときは、個人関連情報の提供を受けることについて本人の同意を取得する必要があります。
例)利用企業が、本人(就活生)から以下への同意を取得すること
「リクナビからCookieに紐づく情報の提供を受け、これを自社で保有する就活生のCookieと突合させ、就活生ごとの情報として利用すること」
<提供元の規制>
提供先が前項の同意を取得していることの確認と、その記録の作成・保存義務

おわりに
このように、本改正では、「個人関連情報」という用語が新設され、Cookie情報、IPアドレス、端末IDといった個人に関連はするが、それ単独では特定の個人を識別できない(個人情報にあたらない)情報についての規制がされることになりました。
これにより、いわゆるパブリックDMP(データ・マネジメント・プラットフォーム)を利用したターゲティング広告については、遅くとも改正法の施行日までに対応を求められることになりますので、DMP事業者・ユーザー企業ともにご注意ください。

PAGE TOP