個人情報保護法の整理・情報の種類別の扱い方(2020年改正反映)

個人にかかわる情報の分類

  • 個人情報
    • 個人識別符号(指紋などのユニークな身体的特徴や免許書番号など、政令で決まっている)→紐づけなくても単独で個人情報扱い
    • 要配慮個人情報(信条、社会的身分、病歴、犯罪歴など、政令で決まっている)→扱いがより厳格
    • (その他の個人情報)
  • 法的に扱いが決まっている非個人情報
    • 加工情報(個人情報を非個人情報化したもの)
      • 匿名加工情報
      • 仮名加工情報
    • 個人関連情報
  • 個人情報
    • 個人データ(検索可能)
      • 保有個人データ(開示、訂正、消去等の権限を有するもの。2020年の改正で新たに6か月未満で消去するデータも含めるように)

個人情報の中で請求対応が必要なのは保有個人データのみ

それぞれの扱い方の規制

個人情報

  • 取得する際には目的を通知または公表
    • 要配慮個人情報を取得する場合は本人の同意が事前に必要
  • 第三者提供
    • 事前に同意が必要
    • 第三者提供ではなく委託であれば同意不要。しかし監督が必要
    • 共同利用は範囲と利用目的と項目と管理責任者名を公表する必要がある
    • 同意をとらない(オプトアウト型)の場合、個人情報保護委員会への届出が必要
    • 要配慮個人情報はNG
    • (新設)オプトアウト型で取得した個人情報もNG
    • (新設)第三者提供記録の開示請求への対応が必要に
  • 開示請求への対応が必要(本人が望めばデジタルで開示する必要がある)
  • 利用停止・消去・第三者提供の停止請求
    • 個人情報が不法に取得、取り扱いされた場合
    • (新設)個人データを利用しなくなった場合や当該本人の権利又は正当な利益が害される恐れがある場合に請求可能に

※オプトアウト型:最初の同意はなく、事後的に本人がオプトアウトできる形で情報を取得する

匿名加工情報→個人情報を不可逆にぼかしたもの

  • 作成後に項目公表する義務
  • 第三者提供する場合、項目と提供方法を公表する義務
  • 他の情報と照合NG→使いにくい
  • 利用目的は公表不要
  • データを流通させるのが目的

仮名加工情報→個人情報を可逆な形でぼかしたもの(新設。紐づけて復元可能)

  • 利用目的公表する義務
  • 第三者提供NG
    • 委託であれば同意不要。しかし監督が必要
    • 共同利用は範囲と利用目的と項目と管理責任者名を公表する必要がある
  • 自社内で便利に使うのが目的

個人関連情報(新設)→個人情報ではないが、個人に関連した情報。CookieやIDFAに対する扱いを決めたもの

そのうち提供先で個人データとなることが想定される情報について、

  • 提供先が行うべきこと
    • 事前に個人データとして取得する旨を本人から同意を取る
      • (ガイドライン)同意取得方法
        • 本人から同意する旨を示した書面や電子メールを受領する方法
        • 確認欄へのチェックを求める方法
        • ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法
    • 利用目的は通知または公表(ガイドライン:同意を取得する際に目的も示すのが望ましい)
    • 記録
  • 提供元が行うべきこと
    • 上記の確認
    • 記録
    • 外国の場合
      • 必要な情報が当該本人に提供されていることの確認
        • (規則)国名
        • 当該外国における個人情報の保護に関する制度
        • 当該第三者が講ずる個人情報の保護のための措置
      • 上記が不要なケース
        • 提供先が日本と同等の水準の個人情報保護制度を有しているにある
        • 提供先が個人情報取扱事業者として必要水準の措置を行なっている
          • 定期的に確認
          • NGな場合は提供停止

(ガイドライン)提供元が提供先に代わって同意取得を代行するケース

  • 提供元では提供先と対象の個人関連情報を示す
  • 提供先では利用目的を通知または公表

2020年改正で追加された分類

  • 従来は匿名加工情報でないものは個人情報だったが、グレーゾーンとして仮名加工情報を明確化→個人情報としての制限から緩める
  • 個人情報ではないが個人情報っぽいものを個人関連情報として指定し、提供先で個人データになるケースと定義して制限の対象に加えた

匿名加工情報と仮名加工情報の違い
https://www.nssol.nipponsteel.com/future/stories/hands-on.html

記事自体は古いが、匿名化と仮名化の概念については新しい法制でも通用する。

匿名加工情報と仮名加工情報も個人情報から生成されるものなので、扱う会社は当然個人情報を保有する者としての扱いが適用される

Cookieの扱い

  • 単純にウェブの行動ログを記録するだけであれば個人関連情報にすぎない
  • しかし紐づけて使う場合には個人情報になる→個人情報としての扱いが必要

とりあえずcookie使っておいて後で何らかの方法で個人と紐づける

→アウト。そもそも何かと紐づけて使うことが前提なのであれば個人情報としての扱いをする必要がある

こういった個人関連情報になるものはその他IDFA、AAID、IPアドレスなどが該当する。