個人情報保護法令和2年改正のポイント~④個人関連情報~

個人情報保護法令和2年改正のポイント~④個人関連情報~

 令和2年6月12日に公布された「個人情報の保護に関する法律等の一部を改正する法律等の一部を改正する法律」(いわゆる令和2年改正)の施行が、令和4年4月1日からと迫ってきています。
 本稿では、令和2年改正のうち、提供先において個人データとなることが想定される情報(「個人関連情報」)に関する規制のポイントを解説していきます。
*条文番号は令和3年改正法のものです。
*個人関連情報の改正の背景については、「中小企業の新たな法律リスク」第69回(https://plus.jmca.jp/torikai/law69.html)をご参照ください。

*改正内容の詳細については「個人情報の保護に関する法律についてのガイドライン(通則編)(未施行:令和4年4月1日施行)(https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf)をご参照ください。

1. 個人関連情報(法第2条第7項)
 個人関連情報とは、生存する個人に関する情報であって、個人情報(法第2条第1項)、仮名加工情報(法第2条第5項)及び匿名加工情報(法第2条第6項)のいずれにも該当しないものをいいます。
 「個人に関する情報」とは、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報です。「個人に関する情報」のうち、氏名、生年月日その他の記述等により特定の個人を識別することができるものは、個人情報に該当するため、個人関連情報には該当しません。
 また、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当するものではないため、個人関連情報にも該当しません。

【個人関連情報に該当する事例】
事例 1)Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例 2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
事例 3)ある個人の商品購買履歴・サービス利用履歴
事例 4)ある個人の位置情報
事例 5)ある個人の興味・関心を示す情報

2.  個人関連情報取扱事業者(法第 16条第7項)
 個人関連情報取扱事業者とは、個人関連情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除いた者をいいます。
 「個人関連情報データベース等」(法第31条第1項)すなわち、「個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの」(法第16条第7項)とは、特定の個人関連情報をコンピュータを用いて検索することができるように体系的に構成した、個人関連情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙媒体の個人関連情報を一定の規則に従って整理・分類し、特定の個人関連情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当します。
 ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。 

3. 個人関連情報の第三者提供の制限等(法第31条)
(1)個人関連情報の提供元として必要な対応

ア 本人同意の取得に関する確認義務(法第31条第1項)
 個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、あらかじめ当該個人関連情報に係る本人の同意が得られていることを確認しないで個人関連情報を提供してはなりません。

① 「個人データとして取得する」について
 法第31条第1項の「個人データとして取得する」とは、提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合をいいます。
 提供先の第三者が、提供を受けた個人関連情報を、ID 等を介して提供先が保有する他の個人データに付加する場合には、「個人データとして取得する」場合に該当します。

② 「想定される」について
 「想定される」とは、提供元の個人関連情報取扱事業者において、提供先の第三者が「個人データとして取得する」ことを現に想定している場合、または一般人の認識(同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識をいいます。)を基準として「個人データとして取得する」ことを通常想定できる場合をいいます。

③ 本人の同意等の確認
 本人から同意を得る主体は、原則として提供先の第三者となり、個人関連情報取扱事業者は、当該第三者から申告を受ける方法その他の適切な方法によって本人同意が得られていることを確認することになります。
 提供先の第三者から申告を受ける場合、個人関連情報取扱事業者は、その申告内容を一般的な注意力をもって確認すれば足ります。
 また、提供元の個人関連情報取扱事業者において、同意取得を代行する場合、当該同意を自ら確認する方法も「その他の適切な方法」による確認に該当します。

【第三者から申告を受ける方法に該当する事例】
事例 1)提供先の第三者から口頭で申告を受ける方法
事例 2)提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる方法

【その他の適切な方法に該当する事例】
事例 1)提供先の第三者が取得した本人の同意を示す書面等を確認する方法
事例 2)提供元の個人関連情報取扱事業者において同意取得を代行して、当該同意を自ら確認する方法

イ 第三者提供に係る記録作成・保存義務(法第31条第3項、第30条第3項)
 個人関連情報取扱事業者は、本人同意の取得に関する確認を行ったときは、当該個人関連情報を提供した年月日、当該確認に係る事項等に関する記録を作成するとともに、これを一定期間保存しなければなりません。
 なお、個人関連情報を提供する前に記録を作成することもできます。

(2)個人関連情報の提供先として必要な対応

ア 同意の取得

 本人の同意を取得する主体は、当該個人と接点を持ち、情報を利用する主体となる提供先の第三者になります。ただし、提供先による同意取得の場合と同等に本人の権利利益の保護が図られることを前提に、提供元の個人関連情報取扱事業者がこれを代行することも認められます。

イ 適正取得(法第20条第1項)

 個人情報取扱事業者である提供先の第三者は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはなりません。

【提供先の個人情報取扱事業者が偽りその他不正の手段により個人関連情報を個人データとして取得している事例】
事例 1)提供先の個人情報取扱事業者が、提供元の個人関連情報取扱事業者に個人データとして利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合
事例 2)提供先の個人情報取扱事業者が、本人同意を取得していないにもかかわらず、同意取得していると提供元の個人関連情報取扱事業者に虚偽の申告をして、個人関連情報を個人データとして取得した場合
事例 3)提供元の個人関連情報取扱事業者が同意取得を代行することを念頭に、実際には提供元の個人関連情報取扱事業者が適切に同意取得していない場合において、提供先の個人情報取扱事業者がこれを知り、又は容易に知ることができるにもかかわらず、当該個人関連情報を個人データとして取得した場合

ウ 第三者提供に係る確認・記録義務(法第30条第1項、第3項)

 提供先の第三者は、個人関連情報取扱事業者から法31条第1項の規定による個人関連情報の提供を受けて個人データとして取得する場合は、法第30条第1項の確認義務の適用を受けるとともに、法第30条第3項の記録作成・保存義務の適用を受けます。

 

4.さいごに

 個人関連情報に関する規制が新設されたことにより、自社では特定の個人と結びつかない情報であっても、社外の第三者に提供する場合には、個人情報保護法の適用を受ける場合が出てきました。

 そのため、令和2年改正法施行後は、個人情報に該当するか否かにかかわらず、個人に関する情報を第三者に提供する場合、個人関連情報に関する規制の適用を受けないかを慎重に検討する必要があります。

 令和4年4月1日の施行までに、自社の業務プロセスを検証し、法に従った対応ができるように準備を進めることが重要です。  

 鳥飼総合法律事務所 弁護士 木元有香

関連するコラム