2021年5月19日、個人情報保護委員会より2022年4月1日に施行される改正個人情報保護法のガイドライン案が発表されました。既に公表されている法案と合わせて、施行に向けた対応のための情報がほぼ出揃った状況です。森・濱田松本法律事務所の田中浩之弁護士がこのガイドライン案を速報的に解説しました。
※本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のライブセッション「緊急解説!令和2年改正個人情報保護法ガイドライン(案)のポイント」をもとに編集しました。情報は、収録日である2021年5月26日時点でのものです。
田中 浩之 氏
森・濱田松本法律事務所
パートナー 弁護士・ニューヨーク州弁護士
2007年弁護士登録、2013年ニューヨーク大学ロースクール修了、2013年Clayton Utz法律事務所で執務、2014年ニューヨーク州弁護士登録。日本及びグローバル(欧州GDPR・米国CCPA等)の平時・有事の個人情報/データ保護規制対応案件を数多く手掛けており、日本企業の実情を踏まえたリスク・ベースド・アプローチによる助言を心がけている。知的財産、ITに関する紛争案件も数多く手がける。『令和2年改正個人情報保護法Q&A』(共著、中央経済社、2020年7月)等著書多数。
<目次>
はじめに:令和2年個人情報保護法改正の全体像
はじめに今回の改正の全体像からお話をして、次に具体的な話をしたいと思います。
まず改正の全体像です。法律自体はもう成立しており、既に前倒しで施行されている又は今後前倒しで施行される一部の条文以外は2022年4月1日の施行となっています。
2021年3月には政令・規則という法律の下位の規範が既に公布されています。そして待望のガイドライン案が5月19日に公表され、現在パブリックコメントを募集中です。この後、Q&Aも個人情報委員会から公表される見込みとなっています。
2021年5月12日に個人情報保護制度の一元化に関する2021年(令和3)年個人情報保護法改正も成立しています。本日はこの解説は割愛しますが、このうち、国関係の改正については、公布から1年以内に施行となっており、2022年4月1日に2020(令和2)年改正と同時施行になる可能性があります。この2021年(令和3)年個人情報保護法改正は、条文の追加により条項ずれが発生しますので、本日の資料では、2021年(令和3)年個人情報保護法改正後の条文番号も括弧書きで示しています。
2020(令和2)年改正の全体像を下表にまとめました。このライブセッションで全て解説するのは難しいので、本日は「情報の通知・公表等」と「同意」に関する項目にフォーカスし、表内で赤文字にしてある部分をお話しします。
個人情報の利用目的はどこまで具体的に書けば良いか
個人情報を利用する際は目的を特定し、基本的にはその目的を通知又は公表しなければいけません。あるいは書面によって直接本人から個人情報を取得する場合、たとえば申込書などを書いてもらうケースでは、目的を明示しなければいけません。
いずれにせよ、目的を特定してその通知、公表または明示をして、本人に目的がわかるようにする、という規制になっているわけです。
現行ガイドラインでの利用目的の記載
改正前の現行ガイドラインには、この通知、公表または明示は抽象的、一般的な内容ではいけない、「最終的にどんな事業にどんな目的で使うのかが、本人に一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」と書いてあります。
【OK例】
- ○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします
【NG例】(具体的に利用目的を特定していない)
- お客様のサービスの向上のため
- 事業活動に用いるため
- マーケティング活動に用いるため
改正後ガイドライン案での利用目的の記載
ここからが改正ガイドライン案の内容となります。改正ガイドライン案では今まで踏み込んでいなかった部分が新しく書かれました。条文自体は改正になっていないものの、ガイドラインが変わったという部分になります。
簡単に言うと、利用目的は「使われる本人が『こういう使われ方をするんだな』とわかるように書きましょう」ということです。どのように扱われるかが目的から合理的に予測・想定できないようでは駄目だということですね。
例えば本人から得た情報から行動関心等の情報を分析する場合、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならないとされています。ガイドラインで挙げられているOK例は以下のとおりです。
【OK例】
- 取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします
- 取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします
【NG例】
- 広告配信のために利用します(※どのような広告配信なのか具体的にわからない)
- 取得した情報を第三者へ提供します(※どういう形で提供されてどう影響があるのかわからない)
このように、利用目的の記載が今のままでよいか見直す必要が出てくるでしょう。
プライバシーポリシーにはどのような見直しが必要になるか
続いてこれもよくいただくご質問で、改正法対応でプライバシーポリシーにどんな見直しが必要になるのかというところです。
改正によるプライバシー関連の追加事項を一覧にまとめました。利用目的の記載の見直しについては、前項でご説明した通りです。
保有個人データに関する公表等事項の追加
保有個人データに関する公表等事項は今の法律でも既にあり、改正法では下図で赤文字になっている項目が追加されました。
上記のうち「保有個人データの安全管理のために講じた措置」については、個人データの安全管理措置を講じる義務は従前から存在しているのですが、その安全管理措置の公表等が求められるようになりました。ガイドラインでは、具体例が挙げられていますが、詳しくは下記スライドをご覧ください。特に、外的環境の把握に関する項目は、保有個人データを取り扱っている外的環境の国名の公表等が必要で、当該国の制度についての公表等が望ましいとしていますので、注意が必要です。
ただし保有個人データの安全管理に支障を及ぼすおそれがあるものについては、具体的なセキュリティ対策の内容等の詳細な説明は必要ありません。たとえば機器の廃棄方法や盗難・不正アクセスの防止措置等について詳細に説明することでセキュリティリスクが生じる場合がこれに該当します。抽象的な説明すらしなくていいというわけではないのでご注意ください。
共同利用がある場合の通知事項の追加
共同利用はいわゆる個人データの第三者提供の例外で、同意を取らずに第三者提供ができる場面の一つです。共同利用の際には一定の事項を通知または本人に容易に知り得る状態に置かなければならないとされています。
ガイドライン改正によりこの「一定の事項」に「管理責任者の住所と法人代表者名」が追加になりました。
仮名加工情報に関する公表事項の追加
仮名加工情報という制度が新たに導入されています。仮名加工情報を使う場合には一定事項を公表する必要があるので、プライバシーポリシーへの追加を検討しなければなりません。
個人関連情報規制を受けるケースでの同意取得
個人関連情報の規制を受ける場合、同意を取得する必要があります。同意取得にあたっての情報提供をプライバシーポリシー内で行う場合、記載を追加する必要があります。
これについては後ほど詳しくご説明します。
外国にある第三者への個人データの提供を行うケース
外国の第三者に個人データを提供する際に同意を法的根拠とする場合も、その旨の情報提供が求められています。この情報提供をプライバシーポリシー内で行う場合は、記載を追加する必要があります。
これも後ほど詳しくご説明します。
個人関連情報に関する確認義務とはどのようなものか
「個人関連情報」とは、生存する個人に関する情報であって個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものです。データベースを構成するものに限り、散在情報は含まれません。
改正法では新しく個人関連情報について下記の条文が入っています。
個人関連情報取扱事業者は、個人関連情報を第三者に提供しようとする場合、第三者が個人データとして個人関連情報を取得することが想定されるときは、あらかじめ、下記事項を確認する義務を負う・・・改正法26条の2(31条)第1項
– 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意を得られていること(1号)
– 外国第三者提供に関する本人への情報提供がされていること(2号※詳細略)
非常に複雑ですが、要するに個人関連情報に当たるものを第三者に提供し、それを第三者が個人データとして受け取ることが想定される場合、提供者は確認をしなくてはいけない。何の確認かというと、一つは個人関連情報の提供先が「個人データとして取得する」ということを本人から同意を得ているか。もう一つは外国の第三者へ提供する場合、これに関する情報提供がなされているか、です。
個人関連情報についての基礎知識を下記にまとめました。個人関連情報に該当する事例や個人関連情報についての典型例はこちらをご覧ください。
まとめ内に挙げた4つの論点については、改正ガイドライン内に答えが記載されているので次にご紹介します。
確認義務の規制を受けないためには
条文に「第三者が個人データとして個人関連情報を取得することが想定されるときは」確認義務を負うとあるので、提供先が個人データとして取得することを想定していなければ規制を受けることはありません。
この「想定される」には、現に認識している場合と一般人基準で考えたら通常想定できると思われる場合の二つがあります。それぞれの例について以下のスライドにまとめました。
また、「個人データとして取得する」というのはどういう意味かというと、「提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合をいう」とされています。たとえば、ID等を介して他の個人データに個人関連情報を付加する場合は「個人データとして取得する場合」に当たります。他方、提供先の第三者が、提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう「個人データとして取得する」場合には直ちに当たらないとされています。
提供元と提供先の間での契約等において個人データとして利用しない旨が定められている場合は、通常「個人データとして取得する」ことは想定されません。したがって、規制を受けないようにするために、実務上はこのような契約を結ぶべきということになります。
個人関連情報の提供を受ける度に個別同意を得る必要があるのか
第三者提供のたびに毎回同意を取得するのは非常に大変です。ガイドライン案では「本人が予測できる範囲において、包括的に同意を取得することも可能である」とされています。
提供先の代わりに提供元が同意をとってもよいのか
ガイドライン案では、「同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元の個人関連情報取扱事業者が代行することも認められる」としています。この場合の同意の取得のためのポイントは後でお話しします。
なお、同意取得を提供元が代行する場合にも、提供先は免責されるわけではなく、代行する提供元に適切な同意取得をさせる必要があるとされています。
同意を得られていることの確認はどこまですればよいのか
条文上は「第三者から申告を受ける方法その他適切な方法(規則18条の2第1項)」によって確認するとされています。ではどの程度注意して確認すればいいのかというと、ガイドライン案では「一般的な注意力をもって確認すれば足りる」となっています。
具体的には「同意を得ています」という誓約書面等を受け入れるのが一般的かと思います。
個人関連情報に関する同意の取得はどのようにすればよいか
本人の同意を取るには、①「誰が」②「どんな項目を」③「どんな目的で使うために」取得するのかの3つについて、本人が認識できるようにする必要があります。
改正法の施行前に取った同意であっても要件を満たせばいいので、2022年4月1日以降に同意を取る必要はありません。
条文の原則通り提供先が同意取得をする場合、①誰が取得するかは取得する主体ですからわかりますよね。②どんな個人関連情報を取得するか、項目を特定できるように示した上で同意を得なければいけません。③目的については元々通知・公表が求められていますが、同意を取得する際に目的を示すことが望ましいと言われています。
提供元が同意取得を代行する際は、提供先が取得する場合と違って①誰に提供されるかわからないのが問題になります。なので、提供先の第三者を個別に明示しなくてはなりません。提供先を示さずに包括的に同意をとることはできないことになるますので注意が必要です。この場合も、提供元は、②対象となる個人関連情報を特定できるように示さなければなりません。③提供先の第三者が個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において通知又は公表を行わなければならないとされています。
同意の取得にはさまざまな方法がありますが、単にウェブサイト上に記載しておくだけでは足りません。上記の3つのポイントを示した上でサイト上のボタンのクリックを求める等の方法が必要とされています。また、図を用いる等のわかりやすく示す工夫が重要とも言われています。
昨年11月の委員会資料に挙げられた明示の同意の取得例を次に掲載しますので参考にしてください。
個人データを外国の第三者に提供する場合、どんな情報提供が必要か
まず、外国の第三者提供規制とは何かという基礎をご説明します。個人データを外国の第三者に提供するにあたっては、次の①から③までのいずれかに該当する場合を除き、本人同意を得なければいけないというのが原則です。
外国にある第三者へ個人データを提供する場合、改正法による規制強化のポイントは2つあります。
一つは同意を根拠とする場合の規制強化です。今日は時間の関係でこちらの話だけさせていただきます。これまでは外国にある第三者への提供を認める旨の本人の同意を取得する際には、事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければならないということしか言われていなかったのですが、同意の前提としての情報提供すべき項目が明確化されました。この規制強化は、改正法の施行日以降に本人の同意を得る場合に適用されます。
もう一つは、同意ではなく、たとえば、移転先と契約していたりグループ会社で共通の内部規定があったりする場合等で相当措置の体制整備をしたことを根拠とする場合の規制強化です。
今日は詳しくお話できませんが、実務上は、同意を得ることなく、こちらを使うケースが多いとはいえるでしょう。規制強化により、「移転先事業者による相当措置の継続的な実施を確保するために必要な措置をを講じる」ことと「本人の求めに応じて、当該必要な措置に関する情報を本人に提供すること」が求められていますが、詳細は本日は割愛します。
同意を取得する際に情報提供するべき項目は以下の3つです。
- 移転先の外国の名称
- 適切かつ合理的な方法で確認された当該外国の個人情報保護に関する制度に関する情報
- 当該第三者が講ずる個人情報の保護のための措置に関する情報
順にガイドライン案での考え方をご説明します。
移転先の外国の名称
必ずしも正式名称でなくてはいけないわけではありませんが、合理的に認識できると考えられる名称でなくてはなりません。基本的には州の名前までは求めないとされていますが、例えば、米国カリフォルニア州のようなものがこれにあたると思いますが、州法が非常に主要な法律になっている法域では州単位の情報提供を行うことが望ましいとされてます。
また、「外国」というのはサーバーの場所ではなく、提供先の第三者が存在する外国です。
適切かつ合理的な方法で確認された当該外国の個人情報保護に関する制度に関する情報
これは「一般的な注意力をもって適切かつ合理的な方法により確認したものでなければならない」とされています。ではどのように確認するのかというと、提供先に対して照会する、つまり相手に「そちらの国の制度はどうなっているの」と聞いてその聞いた結果を情報提供するということが一つの方法だとされています。あるいは我が国又は外国の行政機関等が公表している情報を確認する方法も方法として挙げられています。
日本の法律と外国の制度の差を本質的な差がわかるようにしなければいけないということで、踏まえるべき4つの観点も記載されています。
(イ)の指標というのは、例えばGDPR第45条に基づく十分性認定の取得やAPECのCBPRシステムへの加盟等、ある程度個人情報保護に関するレベルがわかる情報です。
(ウ)については、個人情報保護法も準拠している、OECD(経済協力開発機構)プライバシーガイドライン8原則を遵守できていない点があれば、本質的な個人情報保護法との差異になるので、その点の情報提供をすべきとされています。
(エ)については、いわゆるガバメントアクセスと呼ばれる政府の広範な情報収集が可能となる制度、あるいは消去等の請求に対応できない恐れがある個人情報の国内保存義務に係る制度が事例として挙がっています。
当該第三者が講ずる個人情報の保護のための措置に関する情報
前項でも言及があったOECDプライバシーガイドライン8原則に対応する措置を講じてない場合には、それがわかるようにせよとされています。対応する措置を全て講じている場合はそう書けば足ります。
移転先の外国の名称が特定できない場合等
移転先の外国の名称を特定できない場合は、その理由と、もし、参考情報がある場合にはそれを出してくださいとなっています。参考情報とは何かと言うと、ケースバイケースですが、例えば大体わかっている場合には「この範囲です」と書きましょうというようなことです。
第三者が講じる措置について情報提供できない場合は、その旨とその理由について情報提供しなければいけません。
これらにあたる具体例としては、例えば製薬会社が研究開発中の段階ではどこの国の当局に承認申請を出すかわからない、日本の保険会社が再保険をかける際に保険引受の段階ではどの国の再保険会社を使うか決まっていない、等のケースが考えられます。
Q&Aセッション
セッション内容を受けて、トレジャーデータの山森が、田中 浩之弁護士に質問しました。
Q.
メディア企業が広告主等へデータ提供を行う際に気をつけるべきポイントとして、どのような事柄がありますか?
A.
まず提供するデータが個人データなのかどうかがポイントになります。提供元であるメディア企業にとって個人データなのであれば、個人データの第三者提供規制を受けますので、同意を取得した上で提供する必要があります。
例えばハッシュ化をしたとしても、元データを持っている以上単に仮名化しただけという整理になりますので、提供元にとっては個人データということになります。ですから個人データである前提で同意を取って出すのが原則になります。
一方、提供元にとって非個人情報であり個人関連情報になり、受け取る側としては個人データとして取得することが想定される場合、先ほど申し上げた同意や確認のプロセスを考えなくてはいけません。同意を誰が取るのかをまず考えた上で、情報提供して同意を取る。あるいは規制を受けないように個人データとしての取得を取りやめ、「個人データとして取得することは想定されない」という契約を結ぶという手法が考えられます。
規制を受けない方向に直すのか、受けるならばどうやって適法に運用するのかを考えていかなくてはならないと思います。
Q.
海外にサーバーを持つクラウドサービスに個人データを保管する場合の注意点を教えて下さい。
A.
クラウドサービスを使うときに問題になる点として、まずクラウドサービス業者も第三者なのではないかという点があります。さらに外国のクラウドサービス事業者の場合、外国への移転になるのではないかという論点もあります。
実務上使われているものとしていわゆる「クラウド例外」と呼ばれるものがあります。これは個人情報委員会のQ&A等でも説明されており、クラウドサービスの提供者が個人データを取り扱わないことになっている場合には、第三者提供規制も海外データ移転規制も受けないというものです。
「取り扱わないことになっている場合」というのは、契約で「サーバーに保存された個人データを扱わない」、要はクラウド事業者の側で見たり使ったりはしませんと定められていて、実際アクセス制限も適切になされている場合を言います。
ただこれはあくまで第三者提供の規制や海外の移転の規制が免れられるというだけで、サービスを使う側が安全管理措置を何もしなくていいというわけではありません。あたかも自分のサーバーでデータを持っているかのように、安全管理措置は果たすべき措置としてやらなければいけないということになっています。
これは先程お話しした保有個人データの安全管理措置に関する公表等事項のうち、「外的環境の把握」にも関係しています。外国のクラウドサーバーに情報を保管しているという場合に、外国のクラウドサーバも、外的環境であり、サーバの所在国の公表等が必要になっていく可能性は十分あるかと思います。この「外的環境の把握」に関する公表等事項のスコープについては、今後、パブコメ(パブリックコメント)手続も経た上で、よりルールが明確化されることが期待されます。
また、クラウド例外を使わずに普通に委託として整理している場合もあります。その場合は委託であっても外国移転の規制がかかります。このように、クラウド例外を使わないのであれば、同意によるのかあるいは、クラウド事業者との契約等による相当措置の体制整備をしっかりやるのか、移転規制の対応を考えておく必要があります。
Q.
改正個人情報保護法の対応はいつまでに行えばよいでしょうか?
A.
もちろん2022年4月1日の施行までに対応できれば良いということにはなりますが、今の時点でもう既に対応が終わっている会社さんはほとんどないと思います。なぜなら今までガイドラインの案も出ていなかったので、なかなか具体的な対応ができなかったからです。
これで完全に情報が出尽くしたのかというと、もちろんパブコメ(パブリックコメント)を経てガイドラインも少し変わるかもしれません。夏ぐらいに委員会事務局の方からQ&Aも出ると思いますので、それらを見ると先程申し上げた論点等がだんだん明確になってくるでしょう。
具体的な実装をあまり早くやりすぎてしまうと、後から出た情報による手戻りが発生する可能性があります。他方で遅く始めすぎた場合、例えば施行当日の4月1日から同意を取り始めたら、たとえば、同意を取り終わるまではその人の個人関連情報を提供できなくなってしまいます。ビジネスのタイムラグが生じますから、当然あらかじめ同意を取っておかなくてはいけません。
なかなか難しいところですが、もうガイドライン案が出ていますので、少なくとも「こういう方向性でいこう」と話すのには十分な素地は整っていると思います。実装自体はほぼ情報が出尽くした秋くらいに対応を行うと、同意をそこから取っても施行までにある程度時間の余裕があるかと思います。
本記事はトレジャーデータ株式会社が主催した「PLAZMA After 3rd Party Cookie〜Cookie規制後のデータ活用とマーケティング 〜」(2021年5月開催)のライブセッションをもとに編集しました。
田中浩之弁護士にご質問・ご相談がある方は、森・濱田松本法律事務所のお問い合わせフォーム(https://www.mhmjapan.com/ja/contact.html)を使ってお問い合わせください。