今回は、個人情報保護法を勉強しようということで、個人関連情報の定義について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人関連情報とは(法2条7項)
個人関連情報とは、生存する個人に関する情報から、個人情報、仮名加工情報、匿名加工情報を除いたもの、とされている(法2条7項)。
7 この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
これだけだといったい何のことかわからないが、要するにこういうことである。
「個人情報」の定義(法2条1項)は、
- 生存する(生存者性)
- 個人に関する情報であって(個人関連性)
- 特定の個人を識別することができるもの(個人識別性)
の全てを満たすものであったが(▷参考記事はこちら)、このうち①②を満たすが、③を満たさないものが、「個人関連情報」である。
つまり、生存する個人に関する情報ではあるが、特定の個人を識別することはできないもの、である(「生存する個人に関する情報であって、個人情報…にも該当しないもの」との文言)。
典型的には、Cookie(ブラウザの識別子)、IDFA(iOS端末の識別子)、ADID(AndroidOS端末の識別子)などの識別子に紐づく情報が想定されているので、ひとまずそれを思い浮かべるということでよいと思う。
上記も含めて、具体例としては、例えば、
- Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
- メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
- ある個人の商品購買履歴・サービス利用履歴
- ある個人の位置情報
- ある個人の興味・関心を示す情報
が挙げられている(通則ガイドライン2-8)。
提供元基準説と提供先基準説
問題の所在
個人関連情報が何なのか(なぜそんな概念をつくったのか)をうまくイメージするには、提供元基準説と提供先基準説という論点を見ておくのが早道である。
これは、ざっくりいえば、第三者提供しようとしている情報が、提供元では個人識別性がないが、提供先では個人識別性がある(=照合が容易な他の情報と合わせれば個人を識別できる)場合に、これを個人情報に該当すると考えるかどうか、という論点である。
別の言い方をすると、照合容易性を提供元を基準にして判断するか、提供先を基準として判断するか、という論点になります。
※個人識別性については、その情報単独では識別性がなくとも、照合が容易な他の情報を合わせると個人を識別できる場合も、識別性ありになる(照合容易性による識別性)
提供先を基準にして個人情報に該当すると考える場合は、第三者提供の制限等(法27条)がかかるのに対し、提供元を基準にする場合は個人情報に該当せずこの制限がかからないことになるため、どちらと解すべきか、明文がないため問題となる。
両説の考え方
この論点について、わかりやすい資料でネット上でも見れるものとしては、例えば、少し古い論文になるが、
▷若江雅子、森亮二、吉井英樹「オンライン広告におけるトラッキングの現状とその法的考察―ビッグデータ時代のプライバシー問題にどう対応すべきか」総務省 学術雑誌『情報通信政策研究』第2巻第2号(▷掲載ページはこちら)
などがあり、詳しい解説・論考を見ることができる。
これを参考に両説の考え方を若干まとめてみると、以下のようである(※上記論文Ⅱ-18頁。なお、条文が古い部分等については若干言い換えている)。
- A説(提供元基準説)
- 結論:照合容易性は提供元を基準に判断する
- 理由:
- 提供元基準を一貫させる方が法的安定性に資する
- 提供先で個人識別性を有する情報となって個人情報に該当するようになることについては、取得の規制(適正な取得や、取得に際しての利用目的の通知等)により対処できる
- 提供元では、提供先で「個人情報」に該当するか否かが必ずしも判断できない
- 第三者提供の制限等の文言は、「個人情報取扱事業者は(中略)個人データを第三者に提供してはならない」であるところ、事業者にとって個人データでないものを提供する行為をこれに含めるのは、文言の解釈を超える
- B説(提供先基準説)
- 結論:照合容易性は提供先を基準に判断する
- 理由:
- そもそも提供元が提供行為を行わなければ、提供先の権利侵害の恐れは発生しないのであるから、提供元の提供行為こそが権利侵害の原因である。したがって権利侵害の原因となる提供元の行為に対する規制を行わずに、提供先に対する取得規制のみの問題とすることは適当ではない。提供先において個人識別性がある場合に権利利益の侵害のおそれがあることを考えれば、提供先で個人識別性を獲得する提供行為のケースにおいても、個人データに関する第三者提供の制限等の規制を適用すべきである
- 通常は提供元からみて提供先における個人識別性があるか否かが明確でないということは、適用に際して障害となりうるが、提供元において、提供する情報が、提供先で個人識別性を獲得する蓋然性が高いことを認識しているのであれば、当該提供行為は、実質的に個人識別性のある情報の提供行為と同様であると評価することが可能である
- 「個人データを第三者に提供してはならない」との文言との関係では、提供元において個人データでない情報を、提供先において個人データになることの認識と共に提供先に提供する行為は、「個人データを提供」することにあたると解することは十分に可能というべきある。メールアドレスや広告 ID といった共用性のある識別子と共に個人に関する情報が流通するようになった今日においては、提供元で個人情報でないものが提供先で個人情報となることは、しばしば起こりうることであり、これを第三者提供の制限等の「提供」から除外する解釈は、かえって同条の趣旨を損なう
イメージ的には、A説は形式論・安定性をより重視、B説は実質論・妥当性をより重視、という感じかと思います(管理人の個人的感覚)。
個人情報保護法の立場
以上に対して、個人情報保護法(個人情報保護委員会)は、提供元基準説をとっている(平成28年11月30日パブコメ(「『個人情報の保護に関する法律についてのガイドライン(通則編)(案)』に関する意見募集結果」)No.19)。
▽平成28年11月30日パブコメNo.19(▷掲載ページはこちら)
寄せられた御意見等
(該当箇所)
通則編 2 定義 2-1 個人情報(法第2条第1項関係) P6 16 行(*4)
(ご意見)
「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々の事例ごとに判断されるべきであると解説されているが、容易照合性については提供先が有する情報等によると考えられる。従って、提供元では提供先で「個人情報」に該当するか否かが必ずしも判断できないことから、提供前に、提供元が提供先における容易照合性についてどのように配慮すべきかについて解説してほしい。
(理由)
提供元では、個人情報に該当しない情報を提供したと思っても、提供先で保有する情報と照合することにより、個人が特定される場合が想定されるため。
【日本製薬工業協会 研究開発委員会】御意見等に対する考え方
ある情報を第三者に提供する場合、当該情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。
つまり、
- 提供元基準説に立ち、提供元において個人識別性がない場合には、あくまでも個人情報には該当しないとしたうえで、
- 個人関連情報という別の規律を設けて(個人関連情報の第三者提供の制限等(法31条))、提供先において個人データとして取り扱うことが想定される場合には、本人の同意を得なくてはならない、
としたというのが、現在の建付けであるといえる(管理人的な理解)。
リクナビ事件
法改正による個人関連情報ルール導入の大きなきっかけとなったのは、いわゆるリクナビ事件である。
これはざっくりいえば、
・提供元であるリクルートキャリア社では、採用活動に応募した学生ごとに割り振られた管理ID等の情報とリクナビでの閲覧履歴等を、Cookieを通じて紐づけ、管理IDごとに内定辞退率スコアを算出して(これは個人識別性はない状態)、サービス利用企業に提供していた、
・提供を受けたサービス利用企業側では、その企業が保有している情報(サービス利用企業においては、管理IDと氏名等の情報を紐づけていた)と突合することで、特定の個人を識別することができた、
・リクルートキャリア社は、このようにサービス利用企業側では特定の個人として識別できるという事実を認識していた、
という事案である。
これに対しては、個人情報保護委員会から、以下のとおり、個人情報保護法に基づく勧告及び指導が行われた。
▷個人情報の保護に関する法律に基づく行政上の対応について(令和元年12月4日)|個人情報保護委員会HP
勧告の原因事実のうち「個人データの第三者提供の同意取得を回避しており、法の趣旨を潜脱した極めて不適切なサービスを行っていた」との表現は、提供元基準説に立てば、形式的には第三者提供の制限等に違反はしていないことになるので、このような表現になっている(=法に違反した、とは書き切れない)。
ほか、リクナビ事件についてネット上で見れる解説としては、
▷個人情報保護法改正について|中本総合法律事務所HP
▷リクナビ事件とは?個人情報保護法の問題点を弁護士が解説|BUSINESS LAWYERS
などがあり、参考になる。
これらを経て、令和2年改正により、個人情報に該当しない情報については「個人関連情報」という別の括りを設けたうえで、提供元では個人を識別することができない個人関連情報であっても、提供先において保有している情報と結びつけることで個人データとなることが想定される情報を提供する場合には、本人の同意が得られていること等を確認することが義務付けられることとなった(法31条)。
結び
今回は、個人情報保護法を勉強しようということで、個人関連情報の定義について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)