2021.12.07
令和2年・令和3年改正個人情報保護法を踏まえた事業者の実務対応 その4
のぞみ総合法律事務所
弁護士 村上 嘉奈子
5 個人関連情報に関する規制の創設
令和2年改正個人情報保護法(以下「令和2年改正法」又は「法」といいます。)においては,「生存する個人に関する情報[i]であって,個人情報,仮名加工情報及び匿名加工情報のいずれにも該当しない情報」(Cookie等の端末識別子を通じて収集された,ある個人のウェブサイトの閲覧履歴など)が「個人関連情報」(法第26条の2《令和3年改正個人情報保護法第2条第7項》)として定義され,事業者による個人関連情報の提供につき新たに制限が課されました。
(1)個人関連情報に関する規制創設の背景
個人関連情報は,それ自体で特定の個人を識別することができるものにあたらないことから個人情報には該当せず,現行法において当該情報の利用や提供につき特段の規制はありません。
しかしながら,提供元事業者においては個人関連情報である情報が,他の事業者に提供された後にID等を用いて紐づけられ,特定の個人を識別することができる状態で利用されるケースなどが存在することを踏まえて,令和2年改正法においては,新たに個人関連情報の提供について一定の法規制が設けられることとなりました。
(2)個人関連情報の提供時における確認
令和2年改正法施行後は,個人関連情報の提供にあたり,提供先事業者が当該提供を受けた個人関連情報を自社の有する個人データに付加するなどして,個人データとして利用することを現に想定している場合又は通常想定できる場合には,提供元事業者において,
① 当該提供先事業者が提供元事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること
② 外国にある第三者への提供にあっては,①の本人の同意を得ようとする場合において,個人情報保護委員会規則で定めるところにより,あらかじめ,当該外国における個人情報の保護に関する制度,提供先事業者が講ずる個人情報保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること
を確認した上で個人関連情報の提供を行う必要があるものとされます(法第26条の2《令和3年改正法第31条》,令和2年改正規則(以下「規則」といいます。)第11条の3~第11条の4《令和3年改正規則第17条~第18条》)。
このため,事業者は令和2年改正法施行後に個人関連情報を提供する場合において,事前に提供先事業者が当該個人関連情報を個人データとして取得するものか否かにつき確認を行う必要があります。
上記確認の結果,提供先事業者が個人関連情報を個人データとして取得するものと想定される場合には,提供元事業者において,提供先事業者が上記①②の対応を行っていること[ii]を確認した上で個人関連情報の提供を行うこととなります。
なお,提供先事業者において,提供を受けた個人関連情報を個人データとして利用する意図を持ちながらこれを秘し,必要な本人同意の取得などを行うことなく個人関連情報の提供を受けて個人データとして取得する行為は,個人データの不正取得に該当するものとされます。
(3)同意取得等
提供先事業者が上記(2)①記載の同意を取得する際には,本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示した上,本人の同意の意思を明確に確認する必要があります(GL通則編92~96P参照)。
同意取得にあたっては,対象となる個人関連情報を特定できるように示し,本人が提供先事業者を個別に認識できる状態とされる必要があり,また,提供先事業者における利用目的を同時に本人に示すことが望ましいものとされています。
なお,本人の同意意思の確認にあたっては,事業者において単にウェブサイト上に所定の事項を記載するのみでは足りず,所定の事項を示した上でウェブサイト上のボタンのクリックを求めるなどの明示の同意を得る必要があるものとされますので留意が必要です。
また,外国にある第三者への個人関連情報提供の場合は,上記(2)②記載のとおり,当該第三者によって
Ⅰ 当該外国の名称
Ⅱ 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
Ⅲ 当該第三者が講ずる個人情報の保護のための措置に関する情報
が本人に提供されていることを併せて確認する必要があります[iii](法第26条の2《令和3年改正法第31条》,規則第11条の3《令和3年改正規則第17条》)。
(4)記録義務
令和2年改正法施行後において,提供先事業者が個人データとして取得・利用することが想定される個人関連情報の提供がなされた場合には,提供元事業者において所定事項の記録義務が生じます。
具体的には,提供元事業者において,
① 本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては,法所定の情報の提供が行われていることを確認した旨
② 個人関連情報を提供した年月日
③ 提供先事業者の氏名・名称・住所,法人にあっては代表者氏名
④ 当該個人関連情報の項目
を法所定の方法により記録することが必要です(法第26条,法第26条の2《令和3年改正法第30条~第31条》,規則第18条の3~規則第18条の5《令和3年改正規則第23条~第25条,令和3年改正規則第27条~第29条》)。
なお,この場合,提供先事業者においては個人データの第三者提供に該当するものとなり,法第26条(令和3年改正法第30条),法第26条の2第3項(令和3年改正法第31条第3項)及び規則第15条~第18条(令和3年改正規則第22条~第25条)に従って,所定事項の確認・記録を行うこととなります。
(5)個人関連情報に関する法改正を踏まえた実務対応
個人関連情報に関する規制の創設を踏まえ,事業者においては,自社の提供するサービスや業務等に関連して個人関連情報が提供されているケースの有無や具体的状況についての確認を行う必要があります。
上記確認により,提供先事業者において個人データとして取得・利用することが想定されるケースについては改正法に沿った対応の各準備を行うとともに,提供先事業者において個人データとして取得することが想定されないケースにつき,その旨を契約書・誓約書等に定めて明確化する旨の対応などの検討が必要となるものと解されます。
[i] ある個人の身体,財産,職種,肩書等の属性に関して,事実,判断,評価を表す全ての情報
[ii] 同意の取得については提供元事業者が代行して行うことも可能とされます(個人情報の保護に関する法律についてのガイドライン《通則編》《令和3年10月一部改正》(以下「GL通則編」といいます。)93~94P)。
[iii] なお,個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している外国として規則で定める国にある第三者への提供の場合及び当該第三者が個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している場合は,法第26条の2第1項第2号(令和3年改正法第31条第1項第2号)は適用されません(ただし,後者のいわゆる体制整備者への提供の場合は,法第26条の2第2項《令和3年改正法第31条第2項》により読み替えて準用される法第24条第3項《令和3年改正法第28条第3項》に基づく措置を講じる必要があります。)。