ホテルを経営する石山社長が、賛多弁護士との雑談の中で、個人情報保護法に関する質問を始めました。
* * *
石山社長:先生、令和2年改正の個人情報保護法が、令和4年4月1日から施行されるそうですね。
賛多弁護士:はい、そうですよ。
今回の改正法では、いろいろと新しい規制が新設されましたので、各企業、対応に苦労されているようです。
もっとも、対応の必要性にすら気づいていない企業もある中、社長はお詳しいですね。
石山社長:うちは小さい企業ですが、個人情報保護を担当する責任者を置いて、その従業員に必死で勉強させているんですよ。
業務上、お客様の氏名や住所、生年月日などの個人情報を取り扱いますからね。
賛多弁護士:ああ、そういえば、御社の大野さんから、最近よく、改正法についての質問を受けますね。
石山社長:そうなのです。私も大野から簡単にレクチャーを受けたのですが、その改正法で、「個人関連情報」という概念が入ったそうですね。
これはどういうものですか。
賛多弁護士:「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(個人情報保護法第2条第7項)。
具体的には、氏名と結びついていないインターネットの閲覧履歴、商品購買履歴、サービス利用履歴、位置情報、クッキー(Cookie)等が該当します。
石山社長:うわー、法律上の定義を聞いても、訳が分からんですなあ。
具体的な例を聞くと、 何となく、うちとも無関係ではないような気がします。
今回、どうして、このような改正がなされたのですか。
賛多弁護士: 個人関連情報に関する改正は、令和元年に発覚したリクナビ事件の影響を受けて行われたものです。
石山社長:ああ、リクナビ事件ですか。
確か、就活情報サイト「リクナビ」を運営する会社が、学生の内定辞退率を算出し、顧客企業に提供していた、という事件(注1)ですよね。
賛多弁護士:さすが石山社長、よくご存じですね。
リクナビ事件では、運営会社は、個人情報保護委員会から、多様な論点に関する勧告や指導を受けました。
そのなかには、「個人データの提供先において特定の個人を識別できることを知りながら、提供元たる自社では特定の個人を識別できないとして、個人データの第三者提供の同意取得を回避していた」との指摘もありました。
このことが、個人関連情報の規制につながったのです。
石山社長:なるほど、そういう背景があるのですね。
ということは、従来、個人データに当たらず、本人の同意なく、第三者に提供ができるとされた情報についても、本人の同意なく第三者に提供することはできなくなった、ということですかね。
賛多弁護士:鋭いですね!ご明察のとおりです。
個人関連情報の第三者提供の規制が適用される場合(「提供先が個人関連情報を個人データとして取得することが想定される場合」)は、提供先にも提供元にも本人同意の取得に関する確認義務や、記録作成・保存義務が課されるようになりました。
石山社長:うちもその個人関連情報を保有しているのか、洗い出しをする必要がありますね。
大野は取り組んでいますか?
私は大野に任せっきりで、細かい報告までは受けていないので、心配になってきました。
賛多弁護士:はい。大野さんは既に着手されていると思いますよ。
先日も、本人の同意の確認時の記録についてのご質問が来ましたので。
石山社長:どうぞ、引き続きうちの大野にご指導お願いいたします。
賛多弁護士:承知いたしました。
* *
近年、IT化の進展により、提供元において個人データに該当しない場合であっても、提供先においては他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合が増えています。
このような場合には、提供元に対して、個人情報としての管理の下で適切に提供することを法は求めています。
個人関連情報の規制の詳細については、弊所ホームページのコラム「個人情報保護法令和2年改正のポイント~④個人関連情報~」(注2)もご参照ください。
以上
(注1)『リクナビDMPフォロー』の法的な不備とその影響範囲(株式会社リクルート)
https://www.recruit.co.jp/r-dmpf/05/
(注2)「個人情報保護法令和2年改正のポイント~④個人関連情報~」(鳥飼総合法律事務所)
https://www.torikai.gr.jp/columns/detail/post-26516/
執筆:鳥飼総合法律事務所 弁護士 木元 有香
