<ポイント>
◆閲覧履歴など個人情報にあたらない情報の第三者提供についての新ルール
◆提供先が個人データとして取得することが想定される場合に適用
◆提供元は本人同意など一定事項を確認する必要あり
2020年改正法により「個人関連情報」という概念が新設され、これを第三者提供しようとする場合、提供元(情報を渡す側)において一定事項の事前確認が必要となるケースが生じます。
「個人関連情報」は生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものと定義されます。わかりにくい定義規定ですが、ウェブ上の閲覧履歴や購買履歴などが想定されています。Cookie情報も対象として想定されています。
IDや氏名など他の情報と照合せずにこれらの履歴だけであれば個人が識別されるわけではなく、個人データにあたりません。Cookie情報についても端末が識別されるとしてもそれ自体で個人を特定させるわけではないため、やはり個人データにはあたりません。
これらの情報自体については個人データの第三者提供に関する制限は適用されません。
では、A社がユーザーのIDと購買履歴をデータとして保有し、B社がユーザーのIDと氏名をデータとして保有するケースを想定してみます。A社ではユーザーを特定できませんが、A社がIDと購買履歴をB社に提供し、B社がそれを自社保有データと結合させるとどうなるでしょうか?
B社においてはユーザーを特定したうえでその購買履歴まで把握できます。しかし、個人情報保護法の解釈上、個人データにあたるかどうかは提供元A社を基準に判定するため、このケースにおいても購買履歴は個人データにあたらず、現行法では第三者提供について特に制限がありません。いわば「法の間隙」が生じています。
改正法も提供元(A社)を基準に個人データ該当性を判定するという解釈を維持しています。そのうえで上記のようなケースに一定の手当をするため、個人情報保護法の規律が従来及んでいなかった冒頭の情報を「個人関連情報」としたうえで、第三者提供時のルールを設けました。
大まかにいえば、提供先(B社)において個人関連情報を個人データとして取得することが想定されるときには、提供元(A社)において一定事項を予め確認するよう求めるというルールです。「個人関連情報」の第三者提供を一律に禁じているわけではありません。
確認を要する事項は次の二点です。
(1)提供先が個人データとして情報を取得することにつき本人が同意していること
(2)外国の第三者への提供については、上記の同意にあたって、当該外国における個人情報の保護に関する制度などの参考情報が本人に提供されていること
確認の方法、本人の同意をとりつけるべき主体などについては施行規則やガイドラインで定められることになっています。それらについては次回に説明します。
また、個人関連情報の第三者提供についても記録の作成、保存が義務づけられます。この点は個人データの第三者提供と概ね同様です。
