ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人関連情報についてのパブコメ

情報法

個人情報保護法改正ガイドラインパブコメは膨大ですが、個人関連情報について、このブログで必要なパブコメをまとめていきたいと思います。

※今後も適宜、更新していきます。

※現状、参照済の箇所

:通則編パブコメのNo,294-330、353、398までを見て、気になるものをブログに貼り付けて紹介した

 

 

※海外関連のパブコメのまとめはコチラ

cyberlawissues.hatenablog.com

 

法律

(定義)

第二条

7 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

(定義)

第十六条

7 この章、第六章及び第七章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十一条第一項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第二項各号に掲げる者を除く。

(個人関連情報の第三者提供の制限等)
第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第二十八条第三項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第三項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第二項から第四項までの規定は、第一項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第三項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

 

Q&A

※個人関連情報のQ&Aを全て引用しているものではなく、あまりにも当たり前のAは割愛

Q8-4 提供先の第三者が個人関連情報を「個人データとして取得することが想定される」かは、いつの時点を基準に判断しますか。

A8-4 個人関連情報の提供時点を基準に判断します。個人関連情報の提供時点において、提供先の第三者が「個人データとして取得する」ことが想定されないのであれば、本人の同意が得られていること等を確認することなく、個人関連情報を提供することができます。事後的に、提供先の第三者が個人関連情報を個人データとして利用したことが明らかになったとしても、提供元の個人関連情報取扱事業者は、法第26条の2第1項に違反することとはなりません。 なお、個人情報取扱事業者である提供先の第三者は、提供元である個人関連情報取扱事業者に個人データとして利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合には、法第17条第1項に違反することとなります。 

 

Q8-5 提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いを確認した上で、法第26条の2第1項の適用の有無を判断する必要がありますか。

A8-5 個人関連情報取扱事業者は、一般に、提供先の第三者における個人関連情報の取扱いを確認する義務を負うものではありません。しかし、提供先の第三者の事業内容、提供先の第三者との取引状況、提供する個人関連情報の項目、提供先の第三者における個人データの利用状況等の客観的事情に照らし、提供先の第三者が個人関連情報を個人データとして利用することが窺われる場合には、提供先の第三者における個人関連情報の取扱いを確認した上で、「個人データとして取得する」ことが想定されるかどうかを判断する必要があります。 

 

Q8-6個人データとして利用しない旨の誓約書があれば通常規制は非適用 

ガイドライン(通則編)3-7-2-3では、「提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において」と記載されていますが、提供先の第三者が、提供を受けた個人関連情報を個人データとして利用しない旨の誓約書を提出した場合においても、法第26条の2第1項は適用されないこととなりますか。

A8-6 個別の事案ごとに判断することとなりますが、提供先の第三者が、提供元の個人関連情報取扱事業者に対して、提供を受けた個人関連情報を個人データとして利用しない旨の誓約書を提出した場合には、通常、提供先の第三者は当該誓約に従って個人関連情報を取り扱うものと考えられるため、原則として、「個人データとして取得する」ことは想定されず、法第26条の2第1項は適用されないと考えられます。 

 

Q8-7「提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合」とは 

ガイドライン(通則編)3-7-2-3では、「提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合」には、提供先の第三者における個人関連情報の取扱いを確認する必要があると記載されていますが、どのような場合には「窺われる事情がある」こととなりますか。

A8-7 個別の事案ごとに判断することとなりますが、例えば、契約に基づき個人関連情報を継続的に提供している場合において、提供先の第三者が契約の定めに反して個人関連情報を個人データとして利用したことが明らかになった場合、提供先の第三者は引き続き個人関連情報を個人データとして利用することが窺われるのであり、その後の個人関連情報の提供については、提供先の第三者における個人関連情報の取扱いを確認した上で、「個人データとして取得する」ことが想定されるかどうかを判断する必要があります。 

 

Q8-8 個人関連情報の第三者提供について、個人データの第三者提供における、委託、事業の承継及び共同利用(法第23条第5項各号)に相当する例外規定はありますか。

A8-8 個人関連情報の第三者提供について、法第23条第5項各号に相当する例外規定はありません。法第26条の2第1項の適用の有無については、提供先の第三者が個人関連情報を個人データとして取得することが想定されるかどうかによって判断することとなります。  

 

Q8-9個人関連情報の委託

個人データの取扱いの委託に伴って委託先に個人データを提供しました。委託先にとって当該データが個人データに該当せず、個人関連情報に該当する場合、委託先が当該データを委託元に返す行為について、法第26条の2第1項は適用されますか。

A8-9 個人データの取扱いの委託に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、法第26条の2第1項は適用されません。 ただし委託先が、委託先で独自に取得した個人関連情報を当該データに付加し、その付加後の当該データを委託元に返す場合には、法第26条の2第1項が適用されます。 

 

Q8-10 A社が自社のウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A社はB社にユーザーの閲覧履歴を提供したことになりますか。 

A8-10 個別の事案ごとに判断することとなりますが、A社がB社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社がB社に閲覧履歴を「提供」したことにはならず、B社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B社がそのタグを通じて閲覧履歴を取得することについて、法第26条の2第1項は適用されないと考えられます。 なお、個人情報取扱事業者であるB社は、閲覧履歴を個人情報として取得する場合には、偽りその他不正の手段によりこれを取得してはならず(法第17条第1項)、また、個人情報の利用目的を通知又は公表する必要があります(法第18条第1項)。  

 

Q8-11 同意確認方法

A社がB社に個人関連情報を提供することとなり、A社及びB社は、

①B社が「本人」から法第26条の2第1項第1号の同意を取得する、

②B社は同意を取得した「本人」のIDのリストをA社に提供する、

③A社はリストに掲載されたIDと紐付く個人関連情報をB社に提供する、

というフローで個人関連情報を提供することとしました。

この場合、B社が、A社に対し、法第26条の2第1項第1号の同意を取得した「本人」のIDのみをA社に提供すると事前に誓約していれば、A社は、当該誓約及びIDのリストを確認することで、リストに掲載されたIDに係る「本人」各自について、「本人の同意が得られていること」(法第26条の2第1項第1号)を一括して確認することはできますか

A8-11 提供元の個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合、「本人」各自から、法第26条の2第1項第1号の同意を得ていること(同意の取得方法を含む。)を、提供前にあらかじめ確認する必要がありますが、必ずしも「本人」毎に個別に確認する必要はなく、複数の「本人」につき一括して確認することも可能です。 このため、提供先のB社が、提供元のA社に対し、所定の方法で法第26条の2第1項第1号の同意を取得した「本人」のIDのみをA社に提供すると事前に誓約し、その後、IDのリストをA社に提供した場合には、A社は、当該誓約及びIDのリストを確認することで、当該リストに掲載されたIDに係る「本人」各自から、法第26条の2第1項第1号の同意を得ていることを、一括して確認したこととなります。 

 

 Q8-12 確認の省略

当社は、提供先の第三者が、ID及びウェブサイトの閲覧履歴の取得につき包括的に本人の同意を得ていることを確認し、当該「本人」のID及びこれに紐付くウェブサイトの閲覧履歴を提供して、その記録を作成しました。その後、当該第三者に対し、同一「本人」の以下の各個人関連情報を提供する場合、施行規則第18条の2第3項に基づき、本人の同意が得られていることの確認を省略することができますか

① IDと紐付く商品購買履歴

② IDと紐付くウェブサイトの閲覧履歴(当社が前回提供後に取得したもの) 

A8-12 提供元の個人関連情報取扱事業者は、法第26条の2第1項各号の確認事項につき、既に確認を行った事項と内容が同一であるもの(当該確認について記録の作成及び保存をしている場合に限る)については、その確認を省略することができます

①について、提供先における商品購買履歴の取得は、既に確認した「本人の同意」の範囲に含まれていない(内容が同一でない)ため、商品購買履歴を提供するにあたっては、商品購買履歴の取得につき本人の同意が得られていることを確認する必要があります。

②について、提供先がウェブサイトの閲覧履歴の取得につき包括的に(前回提供分に限定することなく)本人の同意を得ていることを前提とすると、提供先におけるウェブサイトの閲覧履歴の取得は、既に確認した「本人の同意」の範囲に含まれている(内容が同一である)ため、その提供にあたっては、本人の同意が得られていることの確認を省略することができます。  

 

Q8-13 提供先の第三者との間で基本契約を締結して、これに基づき継続的に又は反復して個人関連情報を提供することを予定しています。この場合、記録義務はどのように履行すれば良いですか。

A8-13 特定の事業者に対して継続的に又は反復して個人関連情報を提供することが確実であると見込まれる場合、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができます(施行規則第18条の3第2項ただし書)。例えば、①最初の提供時に一旦記録を作成し、その後、随時、追加の記録事項を作成する方法、②提供期間の終了後に速やかに記録を作成する方法等で記録を作成することが考えられます。 一括して記録を作成する場合、「個人関連情報を提供した年月日」(施行規則第18条の4第1項第2号)については、提供期間の初日及び末日を記録することとなります。 ①の方法で記録を作成する場合において、あらかじめ提供期間の末日が確定していない場合には、最初の提供時にまず提供期間の初日を記録し、継続的に又は反復して個人関連情報を提供することが終了した段階で、提供期間の末日を記録することとなります。 基本契約に基づき個人関連情報を提供する場合、基本契約に係る契約書及びこれに付帯する資料等をもって記録とすることもできます。例えば、提供の開始時に、提供する個人関連情報の項目、個人関連情報の提供期間の初日、提供先の第三者の名称・住所・代表者氏名を契約書に記載しておき、その後、提供期間の終了後に、個人関連情報の提供期間の末日、本人の同意が得られていることを確認した旨(同意取得の方法を含む。)を付帯資料に記載する、といった方法で記録義務を履行することも可能です。この場合に、契約書及び付帯資料について、施行規則第18条の3第3項の要件を満たす場合には、最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間、当該記録を保存すれば足りることとなります(施行規則第18条の5第1号)。 

 

パブコメ通則編

No.307 電話番号の使用履歴データの購入

Q なりすまし等の判定を目的として、電話番号の使用履歴データを購入している。かかるデータは、固定電話番号、携帯電話番号が実在する番号であるか否か、その履歴がデータベース化されているものであり、申込顧客の電話番号であるか否かを問わず、電話番号の使用履歴データを購入している。
個人関連情報の法律上の定義は「生存する個人に関する情報 であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」とあるが、データ購入時点においては、特定の個人との対応関係が排斥されていること、「ある個人の身体、財産、職種、肩書等の属性に関して、事実判断評価を表す情報」に関する情報ではないことから、かかるデータは個人関連情報には該当しないと考えているが、この理解で良いか。
また、金融機関においては、不正契約防止のために、電話番号の使用履歴データ、携帯端末情報等の情報の取得及びデータ分析会社等の外部業者を利用することが一般的であると考えられる 。仮にこれらの情報が個人関連情報に該当するとされ、三者提供に
かかる同意を取得する必要があるということになると業務上の支障が大きく、やむなくかかる情報を使用しないことになると不正契約を助長する結果になりかねないガイドラインにおいてこれらの情報に対する対応について示していただきたい。

A 個人関連情報に該当するかどうかは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの 」 (改正後の法第 26 条の2第1項)という定義に照らして判断されます。
個別の事案ごとに判断することとなりますが、個人情報に該当しない電話番号の使用履歴についても、個人に関する情報である限り、個人関連情報に該当 し得ることとな ります。

(水町感想)法27条1項の法令に基づく場合、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等で行くしかないのでは?

 

No.308 収集の手法によって該当性が異なるものではない

Q「【個人関連情報に該当する事例】」の「事例1 )Cookie 等の端末識別子を通じて収集された、ある個人のウェプサイトの閲覧履歴」に、現在 GoogleCookie に代わり 導入 を開始した「 FLoC 」などの新しい手法ににより収集されたある個人のウェブサイトの閲覧履歴等も含まれることを明記す べ きである。

A 個別の事案ごとに判断することとなりますが、収集の手法によって判断が異なるものではないと考えられます。

 

No.310 家族共有Cookieも個人関連情報に該当

Q 【個人関連情報に該当する事例( (※※)】事例 1 )について、 Cookie 等が設置されたブラウザを家族等で共有しているケースがあり得ると思われるが、この場合には個人関連情報には該当しないのか。該当しないとする場合、個人がブラウザを使用しているケースとどのように区別すればよいか。

A 個別の事案ごとに判断することとなりますが、個人情報に該当しない Cookie 等の端末識別子は、個人に関する情報である限り、個人関連情報に該当 し得ることとな ります。例えば、ウェブブラウザを家族等で共有していることをもって、個人関連情報に該当しないことにはならな いと考えられます。

 

No.312 電話番号やクレジットカード番号も個人関連情報に該当

Q 携帯電話番号やクレジットカード番号は(個人情報ではない限り)個人関連情報となると理解していいか。

A 個別の事案ごとに判断することとなりますが、携帯電話番号やクレジットカード番号(ただし個人情報に該当するものを除く 。 )は、個人に関する情報である限り、 個人関連情報に該当 し得ることとな ります。

 

No.314 メールアドレスも個人関連情報に該当

Q 【個人関連情報に該当する事例】の事例2 特定の個人を識別できないメールアドレス 略 に結びついた、ある個人の年齢・性別・家族構成等とある。この場合の「特定の個人を識別できないメールアドレス」のみでも個人関連情報となるのではないか。また、個人関連情報となる事例が少なく、判断がつきにくいため、事例を増やしていただきたい。

A という定義に照らして判断されます。個別の事案ごとに判断することと なります が、個人情報に該当しないメールアドレスは、個人に関する情報である限り、個人関連情報に該当し得ることとな ります。

 

No.316 特定の個人を識別できるとは

A 「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。

 

No.312&326 個人関連情報が個人情報になった場合

Q312 注釈部分に、「例えば、一般的に、ある個人の位置情報それ自体
のみでは個人情報には該当しないものではあるが、個人に関する
位置情報が連続的に蓄積される等して特定の個人を識別すること
ができる場合には、個人情報に該当し、個人関連情報には該当し
ないことになる。」との説明がありますが、個人関連情報として
集約していたデータが、ある時点から個人情報となった場合の取
得の通知・公表や、結果的に要配慮個人情報となった場合の同意
取得の方法など、その運用や考え方について具体例をいくつか示
しながら解説頂けないでしょうか?

Q326 「例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないもので はあるが、個人に関する位置情報が連続的に 蓄積 される等して特定の 個人 を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。」との 記載 について、データの 蓄積 により個人 関連 情報データベースに個人情報が混在する可能性及びその場合にデータベース全体が個人情報 データベース等とする必要性について、取得時の個人情報該当性の判断との関連を含めて説明いただきたい。この記載及び例示に従うと、例えば、記名のない交通系IC カード に紐づく乗降履歴のデータベー スなど、運用(データ 蓄積 )の初期は個人 関連 情報データベースであるが、 情報 の蓄積とともに個人 情報となるデータが生じてくることになるのではな い か。例えば、このようなケースが、個人関連情報データベースのうち数パーセントの割合で生じると予想される場合であっても、当初から個人情報及び個人情報データベースとして扱う必要は無いものと解釈できると思われる。

A 個人関連情報がその取得後に事後的に個人情報に該当することとなる場合、個人情報に該当することとなる時点以降は、個人情報の取扱いに係る規律に従って取り扱うことが必要となります。

(水町感想)Q326はないわ。

 

No.353 リターゲティングで提供先が個人データとして利用しないのなら非適用

Q リターゲティングの場合、広告主のウェブサイトに3rd PartyDMP のタグが設置され、そのタグで発火した Cookie が DMP 事業者から PFer に提供される、というケースが広く発生する。このケースでは、 PFer 側で容易照合性がありえる識別子に紐づけて
広告配信されるが、個人情報そのものに直接紐づけて広告配信されることは無いと認識している。
こうしたリターゲティングのケースは、個人関連情報の第三者提供に伴う同意取得の規律対象から除外されるか確認したい。

A 改正後の法第26 条の2は、個人関連情報の提供先において、個人関連情報を個人データとして取得することが想定される場合に適用されることとなります。
個別の事案ごとに判断することとなりますが、提供先の第三者が、提供を受けた個人関連情報を、それ単体では特定の個人を識別することができない情報と紐付けて利用するのみであり、個人データとして利用しないのであれば、「個人データとして取得する」場合に該当しないと考えられます。

 

No.398 同意取得代行可能

Q 提供先での同意取得が原則であるが、当該記載があることで提供元側で同意取得できないか、と申し入れられるケースが発生する。 3rd Party DMP などはその構造上、ユーザ本人との直接の接点を有しないため、同意取得をすること自体ができず、提供元で
の代行が不可能であり、こうした申し入れへの対応が困難である。

ユーザ本人の同意取得・ユーザ本人の確認ができない提供元3rd Pa rty DMP 事業者など)は、「同等の本人の権利利益の保護を図る」ことができないので、事実上同意取得代行が不可能である。この点について、再度ご検討頂きたい。同意取得が可能な事業者がユーザーの同意を取得するという原則を徹底して頂きたい。

A 改正後の法第26 条の2第1項第1号の「本人の同意」を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先の第三者となります。
提供先は、同意取得を提供元の個人関連情報取扱事業者に代行させることもできますが、提供元が適切に同意取得していない場合において、 これを知り、又は容易に知ることができるにもかかわらず、個人関連情報を個人データとして取得した場合には、法第 17 条第 1 項に違反することとなります。