改正個人情報保護法における個人関連情報の第三者提供と企業の実務対応
はじめに
2020年改正個人情報保護法(以下「改正法」といいます。)において、新たに「個人関連情報」という概念が導入され、その第三者提供に関する規制が強化されました。これは、インターネット上での行動履歴や位置情報、Cookie情報など、それ単体では特定の個人を識別できないものの、他の情報と容易に照合することで個人情報となる可能性のある情報(以下「個人関連情報」といいます。)の取り扱いを明確化し、プライバシー保護を一層強化するものです。
企業法務に携わる皆様にとって、この個人関連情報に関する規制は、デジタルマーケティングやデータ分析、他社とのデータ連携など、多岐にわたる事業活動に影響を及ぼす重要なポイントとなります。本稿では、個人関連情報の定義とその第三者提供に関する改正法の要点、そして企業が取るべき実務上の対応について詳細に解説いたします。
個人関連情報とは何か
定義と個人情報・匿名加工情報との関係性
個人関連情報とは、個人情報保護法第2条第7項において、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。具体的な例としては、以下のような情報が挙げられます。
- Cookie情報(単体では特定の個人を識別できないもの)
- IPアドレス
- ウェブサイトの閲覧履歴、購買履歴(個人識別符号を含まないもの)
- 広告識別子(IDFA、GAIDなど)
- 位置情報(特定の個人を識別できないもの)
これらの情報は、それ単体では特定の個人を識別できないため、改正前は個人情報保護法の直接的な規制対象外と解釈されることがありました。しかし、これらを他の情報と組み合わせることで個人情報として利用されるケースが増加したため、改正法により新たな規律が設けられたのです。
個人関連情報は、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないという点で区別されます。特に重要なのは、提供先の第三者がその情報を取得して個人情報と紐付けて利用する場合に、新たな規制が適用される点です。
個人関連情報の第三者提供に関する規制
改正法における個人関連情報の第三者提供に関する主要な規制は、個人情報保護法第26条の2に定められています。これは、提供元の事業者だけでなく、提供先の事業者にも一定の義務を課すものであり、その点が大きな特徴です。
提供元の事業者の義務(法第26条の2第1項)
個人関連情報取扱事業者が個人関連情報を第三者(個人情報取扱事業者に限ります。)に提供する場合、原則として以下のいずれかの要件を満たさなければなりません。
- 提供先の第三者が個人関連情報を個人データとして取得することが想定される場合: 提供元は、提供先の第三者が個人関連情報を個人データとして取得することについて、あらかじめ本人から同意を得ていることを確認しなければなりません。
これは、提供先の第三者がその個人関連情報を、既に保有する個人データと紐付けるなどして、個人情報として利用しようとする場合を想定しています。提供元は、提供前に本人同意の取得状況について、提供先から確認書面を受領するなどの方法で確認することが求められます。
提供先の事業者の義務(法第26条の2第2項)
個人関連情報の提供を受ける第三者が、当該個人関連情報を個人データとして取得する場合は、以下の要件を満たさなければなりません。
- 当該個人関連情報を個人データとして取得することについて、あらかじめ本人から同意を得ること。
- その同意を得る際に、提供元から個人関連情報の提供を受けて個人データとして取得する旨を、分かりやすく本人に通知し、または公表すること。
この規定は、提供元からの情報を受け取る第三者が、その情報を個人データとして利用する際に、改めて本人同意の取得を義務付けるものです。これにより、本人が意図しない形で自身の情報が個人データとして利用されることを防ぐ目的があります。
適用除外
個人関連情報の第三者提供規制には、以下のような適用除外があります。これらは、個人データや仮名加工情報の第三者提供に関する例外と同様です。
- 委託(法第27条第5項第1号)
- 事業承継(法第27条第5項第2号)
- 共同利用(法第27条第5項第3号)
- 法令に基づく場合(法第27条第1項第1号)
これらのケースにおいては、原則として本人同意を得る必要はありませんが、個別の要件を満たす必要があります。
企業の実務上の影響と対応ポイント
個人関連情報の第三者提供に関する規制強化は、特にデジタルマーケティングや広告配信、データ分析などを事業として行う企業にとって、具体的な業務フローや契約関係の見直しを迫るものです。
1. データフローの見直しと個人関連情報の特定
自社が収集・利用している情報のうち、何が個人関連情報に該当し、それがどのように第三者に提供されているのかを棚卸しし、現状のデータフローを正確に把握することが重要です。特に、以下のようなケースは個人関連情報の第三者提供に該当し得るため、注意が必要です。
- ウェブサイトのアクセス解析ツールから得られるCookie情報、IPアドレス、閲覧履歴等を広告配信事業者に提供し、当該事業者がそれを他の情報と紐付けて個人を特定する広告配信に利用する場合。
- DMP(Data Management Platform)事業者から提供されるオーディエンスデータを、自社で保有する顧客データと紐付けて分析・利用する場合。
2. プライバシーポリシーの改定と同意取得メカニズムの再構築
個人関連情報の第三者提供に関する同意取得義務を果たすため、プライバシーポリシーを改定し、個人関連情報の取得と利用目的、第三者提供の可能性について明確に記述する必要があります。また、提供先での個人データ化を想定した個人関連情報の提供については、本人からの同意を適切に取得する仕組みを構築しなければなりません。
具体的には、ウェブサイトにおけるCookieバナーの表示、同意管理プラットフォーム(CMP)の導入、アプリ内での同意取得プロセスの見直しなどが考えられます。この際、同意が任意であり、同意しない場合でもサービス利用に不利益が生じない旨を明確にするなど、利用者の選択の自由を尊重した設計が求められます。
3. 提供先・提供元との契約書見直し
個人関連情報を第三者に提供する側(提供元)と、提供を受ける側(提供先)の双方において、契約書の見直しが必要です。
- 提供元企業: 提供先が個人関連情報を個人データとして取得する場合には、提供先が本人同意を取得していることを確認する義務があります。この確認方法や、提供先が同意取得を怠った場合の責任分担などについて、契約書に明記することが望ましいでしょう。
- 提供先企業: 提供元から個人関連情報の提供を受ける際には、自社が本人から同意を取得する義務、およびその旨を本人に通知・公表する義務があります。これらの義務の履行状況を保証する規定や、万一違反があった場合の責任分担について、契約書に盛り込む必要があります。
4. データガバナンス体制の強化と従業員への周知
個人関連情報を含む個人情報の適切な取り扱いを確保するため、社内のデータガバナンス体制を強化することが不可欠です。具体的な対策としては、以下の点が挙げられます。
- 個人情報保護に関する社内規程の整備・改訂。
- 従業員に対する定期的な教育・研修の実施。
- 個人関連情報の収集・利用・提供に関する社内承認プロセスの確立。
- 個人情報保護管理者(CPO)などの責任体制の明確化。
関連判例・監督当局の動向
個人関連情報に関する直接的な最高裁判例は現時点では多くありませんが、Cookie情報やIPアドレスに関する個別の争点においては、プライバシー権侵害の有無が争われた下級審判例がいくつか存在します。これらの判例では、当該情報が個人を識別し得る可能性や、利用者の同意の有無が重要な判断要素とされています。
監督当局である個人情報保護委員会は、改正法の施行に際して「個人情報の保護に関する法律についてのガイドライン(個人情報取扱事業者編)」や「Q&A」を公表し、個人関連情報の取り扱いについて具体的な考え方を示しています。特に、第三者提供における本人同意の確認方法や、Cookie同意の取得に関する実務的な指針は、定期的に委員会ウェブサイトを参照し、最新の情報を把握することが重要です。
また、欧州のGDPR(一般データ保護規則)におけるCookie同意の厳格な要件や、各国におけるデータ保護法の動向も、今後の日本における個人関連情報の解釈や実務運用に影響を与える可能性があります。
まとめ
改正個人情報保護法における個人関連情報の第三者提供規制は、企業がデジタル社会においてデータを活用していく上で、避けて通れない重要な課題です。特に、提供元と提供先の双方に新たな義務が課される点は、これまでのデータ連携の常識を大きく変える可能性があります。
企業法務部員としては、自社のデータフローを正確に把握し、個人関連情報の該当性を適切に判断するとともに、プライバシーポリシーの改定、同意取得メカニズムの再構築、および関係する契約書の見直しを速やかに進めることが求められます。また、個人情報保護委員会のガイドラインやQ&A、さらには最新の法執行状況や国内外の動向を継続的に注視し、コンプライアンス体制を常に最新の状態に保つことが不可欠です。本稿が、貴社の法務戦略の一助となれば幸いです。