コラム

改正個人情報保護法(3)~個人関連情報、Cookie規制~

1.個人関連情報とは
個人関連情報の定義は次のとおり。
「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。」
<具体的事例>
・Cookie情報
・IPアドレス
・契約者・端末固有IDなどの識別子情報
・位置情報、閲覧履歴、購買履歴等、インターネットの利用に係るログ情報など個人に関わる情報で特定の個人が識別できないもの

要するに、その情報単体では個人情報ではないものの、他の情報と容易に照合することができ、それによって特定の個人を識別できるものが個人関連情報と定義されている。

2.個人関連情報の規制
2020年改正において、個人関連情報を第三者に提供することで、個人データとして取得されることが想定される場合には、提供先(情報を受け取る側)の企業においては、事前に本人の同意を得ることが必要となる。加えて、個人情報保護委員会規則で定められる、本人への情報提供のための一定の措置を義務付けるものとなる。(改正法26の2)

(引用:第158回個人情報保護委員会資料)


3.Cookie規制
個人関連情報には、Cookieなど主にWeb上のログが該当することになる。
具体的には、個人情報保護法制度改正大綱に以下のような記述がある。
・ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合も多い。例えば、Cookie等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたことである。
・一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う「DMP」と呼ばれるプラットフォームが普及しつつある。この中でCookie等の識別子に紐づ個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。

現在、個人関連情報にあたるデータの第三者提供規制については、提供先ではなく、提供元で個人データであるかどうかにより判断する、提供元基準説が採用されている。しかしながら、これにより、提供先の事業者が持っている他の情報と照合することによって、個人情報となり得る情報を第三者に送信するスキームが横行していた。実際に、2019年に発生した「リクナビ事件」もこのスキームで発生した問題のひとつといえる。
この不都合を払拭するためにも、「第三者が個人データとして個人関連情報を取得することが想定される時」データの第三者提供を規制する本条が考案されたと考えられる。

4.デジタルマーケティングに関する規制
メールマガジンを発行するためにユーザーのメールアドレス等を取得したり、アカウント認証を行ったりすることにより、個人情報を取得するウェブサイトにおいて、プライベートDMP、MAツール、ウェブアクセス解析サービスなどのデジタルマーケテイングのためのツールを活用し、閲覧情報、購入情報などを取得、分析する場合には、これらのツールで取得するデータは、識別しうる個人に関する情報で、現行の個人情報保護法においても個人情報となり、その取扱が規制の対象となる場合があるため、以下の法遵守対応が必要です。
・利用目的の特定・通知(公表)
・通知(公表)した目的以外に利用する場合、本人の同意を取得すること
・第三者に提供する場合、原則として本人の同意を取得すること
・安全管理措置を講じ、従業員、委託先を適切に管理すること
また、ウェブサイトのコンタクトフォーム(お問合せフォーム)で個人情報を取得する場合、個人情報取り扱い全体について、ウェブサイト利用者に対する適切な対応及び、本人関与の原則を意識することが必要です。