トピックス

2019.12.17
NEWS

個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)


令和2年( 2020 年) 3月 10 日、「 個人情報の保護に関する法律等の一部を改正する法律案 」 が閣議決定され、 国会 に提出されました 。
※個人情報保護委員会の「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」において、法律案、新旧対照表、概要資料等が公表されています。

下記の本ニュースレターでは、改正個人情報保護法の重要論点についてQ&A形式で解説いたします。

Q&A改正個人情報保護法

※こちらもご覧ください。
【改正個人情報保護法】個人関連情報の第三者提供の制限等(改正法26条の2):クッキー(Cookie)などの端末識別子を個人データとして取得する場合は本人の同意が必要に

【改正個人情報保護法】仮名加工情報の創設

はじめに
 
平素より大変お世話になっております。
執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱)
~第1回「端末識別子等の取扱い」~
弁護士 渡邉 雅之
 
 令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第1回は、「端末識別子等の取扱い」について解説する。
 
第1.端末識別子等の取扱い(制度改正大綱第4節「データ利活用に関する施策の在り方」・4「端末識別子等の取扱い」)(23頁~25頁)
 
【改正の方向性】
  • クッキー(Cookie)などの端末識別子等が個人情報保護法上の「個人情報」として扱われることになるわけではない。すなわち、他の会員情報等と紐づけられ、特定の個人を商号することができる場合には、「個人情報」となる点は現行個人情報法と変更はない。
  • 改正法により、第三者に端末識別子等を提供した場合、提供先において他の情報と照合することにより個人情報となる場合には、提供先において「個人情報」として扱われることが明確化される。
  • 改正法により、「提供元では個人データ[2]に該当しないものの、提供先において個人データになることが明らかな情報」については、個人データの第三者提供を制限する規律を適用されることになる。
【実務上の影響】
  • DMP(Data Management Platform)を利用したターゲティング広告は、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」に該当することになるため、GDPR(EU一般データ保護規則)と同様に、インターネットのウェブサイトにおいて、クッキー(Cookie)の利用目的を明示し、事前に本人の同意を取得することが必要となる可能性が高い。
【実務上の対応】
  • 企業のウェブサイトにおいて、クッキー(Cookie)ポリシーを公表し、それに対する同意が求められることになる。
【予想される改正条文】
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの。
三 前各号のほか、第三者から提供を受けた情報でそれ自体では特定の個人を識別できないものの、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの。
2~10(略)
 
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。提供元の個人情報取扱事業者においては個人データに該当しない情報であっても、提供先の個人情報取扱事業者において個人データになることが明らかな場合も同様とする。
一~四(略)
2~6(略)
 
【制度改正大綱の内容】
4 端末識別子等の取扱い
(1)基本的考え方
〇 インターネットにおいては、ユーザーの訪問先サイトに係る登録情報、行動履歴情報、デバイス情報等の情報(以下「ユーザーデータ」という。個人情報及び個人情報以外のユーザーに関する情報が含まれる。)を取得し、利活用することが広く行われるようになっている。
〇 その典型例がインターネット広告の分野であり、ユーザーがあるウェブサイトにアクセスした際に、当該ユーザーのPCやスマートフォン等のブラウザごとのクッキー等を通じてユーザー一人ひとりの趣味嗜好・性別・年齢・居住地等に関するユーザーデータを取得し、それを活用して当該ユーザーに狙いを絞った広告配信を行う、いわゆるターゲティング広告の手法が広く普及している。
〇 こうした端末識別子等を用いたビジネスモデルの実態は非常に複雑かつ多様である。ターゲティング広告のベースとなるウェブ技術は進化が著しく、本来、イノベーションを阻害することを避ける観点からも、まずは、自主ルール等による適切な運用が重要である。一方、可能な限り民間の自主性を活かしつつ、認定個人情報保護団体制度等を活用するなど効果的な執行の在り方を検討していく必要がある。
〇 さらに、個人の権利利益との関係で不適切な取扱いとして看過しがたい事態に対しては、委員会として適切な執行を行うとともに、制度の検証を行う必要がある。
(2)端末識別子等の適正な取扱い
〇 端末識別子等であっても、会員情報等と紐付けられ特定の個人を識別できるような場合は、個人情報保護法上の個人情報として取り扱われなければならない。しかし、事業者の中にはこの点について理解不足と思われる事例も散見されるため、今後、実態を注視しつつ、適切に周知・執行を行っていく必要がある。
(3)提供先において個人データとなる情報の取扱い
〇 ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合が多い。例えば、クッキー等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたところである。
〇 一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「DMP(Data Management Platform)」(脚注8)と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。
 
脚注8 このDMPには、企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」がある。
 
〇 ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。
〇 個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としているが、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとしている。
〇 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、提供する部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、個人情報としての管理の下で適切に提供することを求めている。
〇 これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めるものである(一般に「提供元基準」と呼ばれている。)。
〇 しかし、最近問題となっている「提供元においては個人データに該当しないが、提供先においては個人データに該当する場合」に関しては必ずしも考え方が明らかになっていなかった。
〇 そこで、前述のいわゆる提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。
 
第2 解説
1 個人情報の該当性について
  • 個人情報保護法では、生存する個人に関する情報であって、特定の個人を識別できるものを個人情報として規律の対象としている。情報は、あくまでも集合として意味を成すものなので、単独で評価するのではなく、組み合わせでも評価する。そのため、それ自体で特定の個人を識別できる場合に加えて、当該情報を取り扱う事業者の内部において、他の情報と容易に照合することにより特定の個人を識別できる情報も、個人情報に該当することとし、様々なケースを漏らさずとらえることとしている。
  • この場合、民間事業者における適切な管理を促進し、一方で民間の営業の自由に配慮して過度に広範な規制を避ける観点から、照合できると判断する範囲は、実務に照らし違和感のない範囲にとどめ、容易に照合できる、としているが、近年の組織内外のIT化の進展により、通常の業務従事者の能力で照合できる範囲が格段に拡大している
  • 例えば、組織内に、照合可能なデータベースが存在していれば、普段、分離して使っていたとしても、意図をもって照合しようと思えばできることから、容易に照合できると評価し、全体として、個人情報としての管理を求めることになる。
  • 個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、出す部分単独では個人情報を成していなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、 個人情報としての管理の下で適切に提供することを法律は求めている。
  • これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めている(いわゆる提供元基準)
  • 平成29年5月31日に施行された個人情報保護法の全面改正にかかる法令やガイドラインにおいては、容易照合性について「提供元判断基準」、「提供先判断基準」のいずれに立つのかは明らかにされていなかった[3]。しかしながら、ガイドラインのパブリックコメント回答において、『ある情報を第三者に提供する場合、当該情報が(個人情報の定義の一つである)「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。』(『「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果』[4]19番参照)とされ、「提供元判断基準」によることが明らかにされた。
 
2 本人の同意なきデータの第三者提供

(1)個人情報保護委員会の問題意識

 出所:個人情報保護委員会「個人情報保護をめぐる国内外の動向」(令和元年11月25日)

 提供元と提供先でデータ共有が行われる等の結果、提供先では、個人情報となることを知りながら、提供元では個人が特定できないとして、本人同意なくデータが第三者提供される事例が存在している。
 制度改正大綱にも掲げられているとおり、これは、DMP(Data Management Platform)を利用したターゲット広告などで問題となる。
DMPとは、インターネット上の様々なサーバーに蓄積されるデータや自社サイトのログデータなどを一元管理、分析し、最終的に広告配信などを実現するためのプラットフォームのことである。
 DMPは「プライベートDMP」と「パブリックDMP」の2種類がある。企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」がある。
 「プライベートDMP」は、自社データであり、アクセス解析データ、購買データ、キャンペーン結果、アクセスログ、広告配信データ等が含まれる。自社データであるので、特定の個人を識別できる「個人データ(個人情報)」に該当する。
「パブリックDMP」は、外部データであり、属性データ(性別、年代等)、嗜好性データ、外部サイト行動データ等が含まれる。個人を特定できるデータは含まれておらず、Cookie(クッキー)などで集約される。

(2)リクナビ問題
 今回の改正の方向性の背景には、就職情報サイト「リクナビ」を運営する株式会社リクルートキャリア(以下「リクルートキャリア社」という。)が、いわゆる内定辞退率を提供するサービスに関する問題がある。
「個人情報の保護に関する法律第42 条第1項の規定に基づく勧告等について」(個人情報保護委員会:令和元年12月4日)[5]によれば、以下のとおり、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」の提供が本人の同意なしに行われていた。
 
➀ 2018年度卒業生向けの「リクナビ2019」におけるサービスでは、個人情報である氏名の代わりにCookieで突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していた。 リクルートキャリア社は、内定辞退率の提供を受けた企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた。
 
 リクナビ問題についての詳細については、「個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正」を参照されたい。
 
3 改正の方向性と実務上の影響
(1)個人情報保護法の改正の予想
改正法により、第三者に端末識別子等を提供した場合、提供先において他の情報と照合することにより個人情報となる場合には、提供先において「個人情報」として扱われることが明確化される。
また、改正法により、「提供元では個人データ に該当しないものの、提供先において個人データになることが明らかな情報」については、個人データの第三者提供を制限する規律を適用されることになる。
 
【予想される改正条文】
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
三 前各号のほか、第三者から提供を受けた情報でそれ自体では特定の個人を識別できないものの、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの
2~10(略)
 
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。提供元の個人情報取扱事業者においては個人データに該当しない情報であっても、提供先の個人情報取扱事業者において個人データになることが明らかな場合も同様とする。
一~四(略)
2~6(略)
 
(2)実務上の影響
DMP(Data Management Platform)を利用したターゲティング広告は、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」に該当することになるため、GDPR(EU一般データ保護規則)と同様に、インターネットのウェブサイトにおいて、クッキー(Cookie)の利用目的を明示し、事前に本人の同意を取得することが必要となる可能性が高い。
企業のウェブサイトにおいて、クッキー(Cookie)ポリシーを公表し、それに対する同意が求められることになるだろう。
 
1 クッキーとは
Cookie(クッキー)は、ウェブサイトがブラウザにコンピュータまたはモバイルデバイスに保存するように要求する小さなデータである。Cookieを使用すると、ウェブサイトは個人の行動や嗜好を時間の経過とともに「記憶」することができる。
 ほとんどのブラウザはCookieをサポートしているが、ユーザーはブラウザにおいてCookieを使用しないように設定できる。
2 ウェブサイトにおけるCookieの用途
ウェブサイトは主にCookieを、①ユーザーの識別、②ユーザーのカスタム設定の記憶、③ユーザーのサイトを閲覧するときにサイトに入らずにタスクを完了できるようにすること、に使用できる。
Cookieは、オンラインの行動ターゲット広告に使用して、過去にユーザーが検索したものに関連する広告を表示することもできる。
ウェブページを提供するウェブサーバは、ユーザーのコンピュータまたはモバイルデバイス上にクッキーを格納することができる。ファイルをホストする外部Webサーバは、Cookieを格納するためにも使用できる。 これらのCookieはすべて、http header Cookieと呼ばれる。Cookieを保存する別の方法は、そのページに含まれているJavaScriptコードを使用する方法である。
ユーザーが新しいページを要求するたびに、WebサーバはCookieのセットの値を受け取ることができる。 同様に、JavaScriptコードは、そのドメインに属するCookieを読み取り、それに応じてアクションを実行することができる。
3 Cookieの種類
(1)存続期間による分類
①セッションCookie:ユーザーがブラウザを閉じたときに消去されるCookie
②永続Cookie:事前定義された期間、ユーザーのコンピュータ/デバイスに残るCookie
(2)帰属による分類
①ファーストタイプCookie: Webサーバによって設定され、同じドメインを共有するCookie
②サードパーティCookie:訪問したページのドメインとは別のドメインによって保存されたCookie。このCookieは、Webページがそのドメイン外にあるJavaScriptなどのファイルを参照しているときに発生する。
 
以上

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0
[2]個人情報取扱事業者の「個人情報データベース等」(個人情報保護法2条4項)を構成する「個人情報」(同条1項各号)が「個人データ」である(同条6項)。厳密には第三者提供の制限(同法23条)は、「個人データ」について適用され、「個人情報」には適用されないが、リクナビサービスにおける「個人情報」は事業者(リクルートキャリアやリクルートコミュニケーションズおよび契約企業)の個人情報データベース等を構成し、「個人データ」に該当すると考えられるので、本ニュースレターにおいては「個人情報」と「個人データ」を特に区別しない。
[3]たとえば、岡村久道弁護士の「個人情報保護法(新訂版)」(商事法務・2009年)76頁においては、「Aにとって識別性を具備する情報を、これを具備しないBに提供する場合には、第三者提供の制限(法23条1項)違反とならないものと考えるべきである。Bにとどまらず通常人からみても誰の情報なのか識別できない以上、その提供によって、本法が想定する権利利益侵害のおそれが通常発生すると認められないからである。また、かく解さなければ、本人の権利利益を図るため、特定の個人を識別しうる部分を番号・符号に置き換える方法を用いて匿名化したデータを第三者に提供することすら許容されなくなりかねない。」とされていた。
[4]https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000151056
[5]https://www.ppc.go.jp/files/pdf/190826_houdou.pdf