1 はじめに
令和2年6月5日に成立し、同月12日に公布された個人情報の保護に関する法律(以下「改正法」といいます。施行日については、注1参照。)26条の2は、個人関連情報について新たに定めています。
個人関連情報とは、個人データの第三者提供において、提供元では容易照合性が認められず個人データに該当しないが、提供先において容易照合性が認められ個人データとなる情報(例えば、Cookie、位置情報等)です。本条新設の背景には、令和元年8月26日及び同年12月4日に個人情報保護委員会により勧告・指導がなされた、リクナビDMPフォロー事件(以下「リクナビ事件」といいます。)があると考えられています(注2)。
以下、提供元・提供先それぞれにおける留意事項を述べます。
2 提供元における留意事項
個人関連情報の第三者提供に際して、提供元は、提供先が個人関連情報を個人データとして取得することが想定されるときには、原則として、提供元において本人の同意が得られていることを確認する必要があります(改正法26条の2第1項)。この「想定されるとき」には、①提供先が個人データとして取得することを提供元の事業者が想定している場合(例えば、リクナビ事件はこれに該当すると思われます。)、②取引状況等の客観的な事情に照らし提供先が個人データとして取得することが一般人の認識を基準として想定できる場合があります。
確認の方法については、改正法の施行規則により、提供先から申告を受ける方法その他適切な方法とされていますが(同施行規則18条の2第1項)、一般的には、契約書等において表明保証条項(提供先が個人関連情報と容易に照合して特定の個人を識別できる情報を保有している場合、提供先において本人の同意が得られていることを保証する条項)を定めることが考えられます(注3)。ただし、少なくとも上記①の場合には、同意取得の根拠資料を確認することが望ましいと思われます。
3 提供先における留意事項
提供先において、当該個人情報関連情報と容易に照合して特定の個人を識別することが可能な情報を保有している場合には、本人の同意を取得する必要があります。この点、同意の取得の仕方に関して、提供先のプライバシーポリシーに個人関連情報を個人データとして取得する点も含めて規定し、当該ポリシーに同意を得ることにより、事前に本人から包括的な同意を取得することが想定されるとの指摘があります(注4)。
しかし、複数の情報ソースが組み合わされることを考えると、本人の予見可能性の観点からは、上記の仕方で十分な内容が示されているのかどうかについて検討の余地があると思われます(注5)。
注1) 全面施行の日は,令和4年4月1日です。ただし,改正法23条2項により個人データを第三者に提供しようとする際の経過措置については,令和3年10月1日です。また,法定刑の引上げ(改正法83~87条)については,令和2年12月12日から施行されています。
注2) リクナビ事件では、就職活動向けサイトであるリクナビを運営するA社は、採用活動に応募した学生等の情報とリクナビ会員情報を突合し、リクナビ上の閲覧履歴等を基に内定を辞退する確率を算出して、サービス利用企業に提供していました。この際、A社は、提供先において特定の個人を識別できることを知りながら提供する側では特定の個人を識別できないとして、一時、個人データの第三提供について本人の同意を得ていませんでした(令和元年12月4日付け勧告)。
なお、リクナビ事件の概要に関しては、渡邊涼介著「データ利活用とプライバシー・個人情報保護」66-68頁参照。また、改正法16条2項との関係については、岩瀬ひとみ他編著「2020年個人情報保護法改正と実務対応」96頁参照。
注3) 前掲岩瀬他194頁参照。
注4) 前掲岩瀬他140頁参照。
注5) リクナビ事件において、個人情報保護委員会は、A社に対する指導事項として、個人データの第三者提供に当たっては、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示すことを求めています(令和元年8月26日付け勧告等)。