◇SH2931◇個人情報保護委、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」 の公表 藤原宇基(2019/12/12)

未分類
トピックス解説(岩田合同法律事務所)

個人情報保護委、「個人情報保護法 いわゆる3年ごと見直し
制度改正大綱(骨子)」 の公表

岩田合同法律事務所

弁護士 藤 原 宇 基

 

 令和元年11月29日、個人情報保護委員会は、個人情報保護法の次期改正に向けて、制度改正大綱(骨子)(以下「改正大綱骨子」という。)を公表した。同委員会は、今後、本骨子を基に、年内に大綱を取りまとめ、パブリックコメント(意見募集)を経たうえで、来年の通常国会への改正法案提出を目指す予定である。

 

1 構成

 改正大綱骨子の構成は以下のとおりである。

Ⅰ.個人データに関する個人の権利の在り方
  1. 1.利用の停止、消去、第三者提供の停止の請求に係る要件の緩和
  2. 2.開示のデジタル化の推進
  3. 3.開示等の対象となる保有個人データの範囲の拡大
  4. 4.オプトアウト規制の強化
Ⅱ.事業者の守るべき責務の在り方
  1. 1.漏えい等報告及び本人通知の義務化
  2. 2.適正な利用義務の明確化
Ⅲ.事業者における自主的な取組を促す仕組みの在り方
  1. 1.認定個人情報保護団体制度の多様化
  2. 2.保有個人データに関する公表事項の充実
Ⅳ.データ利活用に関する施策の在り方
  1. 1.「仮名化情報」の創設
  2. 2.提供先において個人データとなる場合の規律の明確化
  3. 3.公益目的による個人情報の取扱いに係る例外規定の運用の明確化
  4. 4.個人情報の保護と有用性に配慮した利活用相談の充実
Ⅴ.ペナルティの在り方
Ⅵ.法の域外適用の在り方及び越境移転の在り方
  1. 1.域外適用の範囲の拡大
  2. 2.外国にある第三者への個人データの提供制限の強化
Ⅶ.官民を通じた個人情報の取扱い
  1. 1.行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化
  2. 2.地方公共団体の個人情報保護制度

 

2 提供先において個人データとなる場合の規律の明確化

 本稿においては、このうちいわゆるリクナビ問題[1]でも問題となった「提供先において個人データとなる場合の規律の明確化」について紹介する。

 改正大綱骨子では、「提供先において個人データとなる場合の規律の明確化」について、「個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。」とされている。

 この点、リターゲティング広告[2]などに利用されるCookie[3]は、それ自体では特定の個人を識別することができるものには当たらず、また、個人識別符号(個人の身体の特徴をコンピュータの用に供するために変換した符号、または、サービス等を受けるために個人に割り当てられた符号)にも当たらないため、個人情報保護法上の個人情報(同法2条1項)には該当しないとされている。したがって、Cookieの取得や第三者への提供については現行の個人情報保護法の規制は及ばない[4]

 そこで、ある事業主の元でCookieが個人情報に該当しないことを理由に、Cookieに紐付けて管理していた閲覧履歴や趣味嗜好等を本人の同意なく第三者に提供し、提供先において、Cookieと他の情報を照合することにより、特定個人の閲覧履歴や趣味嗜好等を把握することが可能となる(図1参照)。

 しかし、このような情報収集及び第三者提供の方法は、法を潜脱するものとして問題視されている。

 リクナビ問題では、リクルートキャリア社は、個人情報である氏名の代わりに Cookie で突合し、特定の個人を識別しないとする方式で内定辞退率を算出し、第三者提供に係る同意を得ずにこれを利用企業に提供していたが、このような方法は、内定辞退率の提供を受けた利用企業側において特定の個人を識別できることを知りながら、提供する側では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避するものであり、法の趣旨を潜脱した極めて不適切なサービスであるとして、勧告・指導が行われた(令和元年12月4日付「株式会社リクルートキャリアに対する勧告等について」https://portal.shojihomu.co.jp/wp-content/uploads/2019/12/191204_houdou.pdf)。

 改正大綱骨子では、このような提供先において個人データとなる場合についても第三者提供を制限する規制の対象とすることが述べられている。今後、改正大綱骨子を踏まえた改正法案によりCookieに対しても何らかの規制が行われる可能性は高いといえる。

 企業としては、自らCookieを取得する場合、第三者からCookieに紐付けられた情報を取得する場合、第三者に対してCookieに紐付けた情報を提供する場合、それぞれにおいて、個人データに関する個人の権利利益を保護するよう適正な措置を取ることが求められる。

 

※ 図1 第127回個人情報保護委員会資料 「令和元年11月25日付『個人情報保護を巡る国内外の動向』抜粋

 

以上


[1] 株式会社リクルート及び株式会社リクルートキャリアが、クライアントに対して、リクナビ上の閲覧履歴等を基に内定を辞退する確率(以下「内定辞退率」という。)を算出して提供していたサービスが個人情報保護法に抵触するとして問題となった事案。

[2] 過去に広告主のWebサイトを訪問したことがあるユーザーの行動を追跡し、広告ネットワーク内の他サイトの広告枠上で同じ広告主の広告を表示させるインターネット広告の手法をいう。ユーザーの行動履歴の追跡には主にCookieが使用される。

[3] 特定のホームページを訪問したユーザーの情報(ID、パスワード、メールアドレス、訪問回数など)を一時的に保存する仕組み、またはそのデータをいう。

[4] ただし、Cookieを取得した事業者内で、Cookieと他の情報とを容易に照合することができ、それにより個人の識別が可能となる場合は、Cookie情報を含む全体の情報が個人情報に該当する(個人情報保護法2条1項1号)。

 

タイトルとURLをコピーしました