Contents
2022年4月1日、改正個人情報保護法が施行されます(以下「令和4年改正」といいます。)。
令和4年改正の主な内容は、①個人が有する個人情報に関する権利の拡充、②事業者の守るべき責務の拡充、③事業者による自主的な取組みを促す仕組みの拡充、④データ利活用に関する施策の拡充、⑤個人情報保護法違反に関するペナルティの強化、⑥域外適用、越境移転の在り方に関する拡充となります。
本稿では、令和4年改正の内容のうち、情報利用に関する規制である、④データ利活用に関する施策の拡充に関する、個人関連情報の規制について解説いたします。
個人関連情報とは、生存する個人の情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものといいます(個人情報保護法(以下条文番号を記載する場合には単に「法」とします。)第2条第7項。なお、条文番号は、令和3年改正個人情報保護法施行後の条文番号で記載しています。)。
具体的には、Cookie等の端末識別子を通じて収集されたある個人のウェブサイトの閲覧履歴、メールアドレスに結び付いたある個人の年齢・性別・家族構成等、ある個人の商品購買履歴・サービス利用履歴、ある個人の位置情報、ある個人の興味・関心を示す情報が挙げられます(個人情報保護法ガイドライン(令和3年10月一部改正に係る通則編22頁))。
近年、インターネットの技術発展に伴い、ユーザーデータの収集、蓄積、統合、分析を行うプラットフォームが普及しています。この普及に伴い、Cookie等の情報を第三者に提供する事業者が現れることとなりました。Cookie等の情報は、提供を受けた事業者がユーザーデータとその情報を突合させることにより、個人情報に該当する情報となることがありえます。この情報突合によって情報が個人情報(個人データ)に変化してしまうならば、本人(個人情報により特定される個人をいいます。以下ではこの個人を「本人」といいます。)が関与せず提供先(個人関連情報の提供を受ける者をいいます。)において個人情報(個人データ)が収集・蓄積されることを意味し、個人の権利利益の侵害が生じるおそれが生じています。
このような背景を踏まえ、令和4年改正によって、個人関連情報に関する規制が導入されることとなりました。
令和4年改正により、個人関連情報取扱事業者は、個人関連情報を第三者に提供しようとする場合において、第三者が個人データとして個人関連情報を取得することが想定されるときは、原則、当該第三者が、個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人同意が得られていることを確認すべき義務を負います(法31条第1項第1号参照)。ただし、外国にある第三者へ提供がされる場合には、法第31条第1項第2号が適用されます。
つまり、令和4年改正により、個人関連情報の提供元(個人関連情報の提供を行う者をいいます。)には、提供先が個人関連情報の提供を受けて個人データとして取得することの同意を得ているかを確認する義務が定められました(提供先が外国にある第三者である場合には別途義務が定められています。)。
また、提供元は、提供先から当該確認を行った場合、個人関連情報の提供を行った年月日等を記載した記録を作成し、保存する必要があります(法31条第3項、法第30条第3項)。また、提供先は、個人関連情報の提供を受けて個人データとして取得する場合には、提供元である個人関連情報取扱事業者の氏名又は名称及び住所並びに法人にあってはその代表者の氏名等を記録する義務があります(法第30条第3項)。
本人の同意を取得するに当たっては、提供先が、本人に対して、①個人関連情報の提供を受けて個人データとして取得する主体、②対象となる個人関連情報の項目、③個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が確認できるようにする必要があります。
そして、同意取得の態様・方法については、本人に対して必要な情報提供を行い、本人がそれをよく理解したうえで、明示の同意を得ることを原則とすべきとの考え方が示されています(「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」)。
このような考え方に基づけば、本人の同意を取得するにあたって、例えばウェブページ上で同意を得る場合には、本人が「(個人関連情報の取得等について)同意する」等のボタンをクリックするなど積極的な行為によりなされる必要があり、「個人関連情報の第三者提供を拒否する場合にはクリックをしてください」などといった拒否権を与える態様では、同意を取得したとは認められないこととなります。
提供元は、個人関連情報を提供先に対して提供する際、本人の同意が得られていることを確認することになります。この提供元による確認方法は、「個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法」による必要があると定められています(法規則第18条の2第1項)。
「第三者から申告を受ける方法」としては、①提供先の第三者から口頭で申告を受ける方法、②提供先の第三者から本人の同意を得ていることを誓約する書面を受け入れる方法が考えられます。「その他の適切な方法」としては、③提供先の第三者が取得した本人の同意を示す書面等を確認する方法、④提供元の個人関連情報取扱事業者において同意取得を代行して、当該同意を自ら確認する方法が挙げられます。
なお、提供元及び提供先間の契約等において、「提供先が個人関連情報の取扱いにつき本人から同意を得る」との条項を定めたとしても、この条項のみをもって、提供元が個人関連情報の提供に関して本人から同意を得ていることを確認したことにはならないと考えられているため、注意が必要です。
以上を踏まえると、個人関連情報の提供先及び提供元は、その提供に際して、以下の事項を行う必要があります。
① 個人関連情報を取得し個人データに紐づけることを利用目的等とともに本人に説明し、同意を得る。
② 提供元に対して、「①」の同意を得ている旨の確認を求められた際に、その旨を申告する。
③ 提供元から個人関連情報の提供を受けて個人データとして取得した場合に記録を行う。
① 個人関連情報を提供先に提供する際、当該個人関連情報が「個人データとして取得することが想定される」場合に該当するか判断する。
② 個人関連情報の提供について、提供先が本人の同意を得ていることの確認を行う。
③ 提供元が提供先から当該確認を行った場合に記録を行う。
令和4年改正により、個人情報を取り扱う事業者は、プライバシーポリシーの改正、個人情報関連情報提供時又は受領時における業務フロー等を改める必要が生じます。
個人情報保護法制は複雑であり、具体的なプライバシーポリシーの修正内容、業務フロー等の改善内容は、これに関する知識を有する弁護士とともに行うべきでしょう。
当事務所では、プライバシーポリシーの作成・修正や、個人情報保護法に関連する資料の作成等も行っています。個人情報保護法改正に対する対応を行う必要がある企業・個人事業主の方は、ぜひ当事務所にご相談ください。