新設の「個人関連情報」、規制を受けるケースとは？　第三者提供は何がNG？　弁護士に聞く：徹底解説！Cookie規制と法改正

[山森康平，ITmedia]

　データを活用して新しい施策を実施したいけれど、法律的にどこまでなら可能なのか判断できない──そんな悩みを抱えているマーケターやCRM担当者も多いかと思います。広告やマーケティングなどの実務担当者がひとまず押さえておくべき法令のポイントについて、森・濱田松本法律事務所の田中浩之弁護士にインタビューしました。聞き手はトレジャーデータの山森です。

　前編では「個人関連情報の提供」「同意の取得」「プライバシーポリシーの改定」「海外との関係」を取り上げます。

法改正で「個人関連情報」の規制を受けるケースとは？

山森：　法改正を受けて、Webサイトのアクセス解析や広告配信の連携など、マーケティングやCRMの分野でいろいろと影響が出てきます。ポイントとなるのは、今回の改正で設けられた「個人関連情報」に関する規制ではないでしょうか。

　連載第1回でも触れましたが、Cookieなどの識別子により収集される情報は改正法において「個人関連情報」とされました。なぜ「個人関連情報」が規定され、規制されることになったのでしょうか。

「個人関連情報」が規定された理由

田中：　これまでも個人データを第三者に提供することは規制されていましたが、それでは不十分だということが今回の改正の背景にあります。

　個人データの第三者提供規制は、いわゆる提供元基準説により、提供元にとって個人データにあたらない場合には規制が及ばないことになります。例えば、パブリックDMPがCookieにひも付けて集めたデータはパブリックDMPにとっては個人データではなく、仮にパブリックDMPからデータを購入した企業が個人データとして受け取るとしても、提供元基準説を形式的に適用すると、個人データの第三者提供規制は及ばないということになります。

　しかし、こうしたデータの利活用による個人への実質的な影響があるため、規制を及ぼすべきということで、新たに「個人関連情報」というコンセプトを導入して規制することになりました。例えば、Cookieなどの端末識別子を通して集められたWebサイトの閲覧履歴や、それに結び付いた属性情報などが、典型的な個人関連情報にあたります。

どんなケースが規制の対象になる？

山森：　具体的にはどんなケースが、新しく規制の対象になるのでしょうか？

田中：　この図は個人情報保護委員会が説明している典型的なケースで、A社はWebサイト閲覧履歴や趣味嗜好などの個人関連情報を、特定の個人を識別できない（個人情報を持たない）状態で取得しています。B社の依頼を受け、A社はCookie・IDなどにひも付けて個人関連情報をB社に提供します。このとき、B社が氏名や住所などの個人データを持っていて、Cookie・ID と突合できる仕組みがあったとします。つまり、B社は特定の個人の閲覧履歴や趣味趣向が分かってしまうわけです。

　このように、提供元（A社）においては特定の個人を識別できない情報だとしても、提供先（B社）が特定の個人を識別できると想定可能である場合には、提供先のB社は個人関連情報の取得について本人の同意を得て、提供元のA社がそれを確認する必要があります。

　ちなみに、A社が自社のWebサイトにB社のCookieタグを設置することで、B社がユーザーのデータを収集する場合は、個人関連情報の「提供」ではなく、B社による「直接取得」と見なされます（ただし、A社がB社のCookieタグによって収集された閲覧履歴を取り扱っていない場合）。

山森：　Cookieタグによってデータを「直接取得」する場合と、第三者から「提供」を受ける場合では、規制対象になるかどうかが変わってくるわけですね。具体的なケースをご紹介ください。

ケース1：自社サイトの訪問者の閲覧履歴を外部と共有

田中：　ケース1（上図）では、自社Webサイトの閲覧履歴を取得するA社が、外部のB社とサイト訪問者の閲覧履歴を共有しています。

　ケース1では、「個人情報」とひも付くデータはまったく出てきていません。提供元として個人情報ではないデータを提供して、提供先もそれを個人データとしては受け取らず、単に統計情報であるアクセス解析レポートなどが返ってくる場合には、法規制の対象になりません。

山森：　Cookieを使って取得するデータが「個人関連情報」に当たるといっても、提供先が個人データとひも付けることが想定されなければ規制されないということですね。

田中：　その通りです。しかし、A社が会員登録などを通して個人情報を有しており、外部からデータ提供を受ける場合には注意が必要です。

ケース2：A社のサイトにＢ社のタグを設置

田中：　ケース2（上図）では、A社のWebサイトにB社のタグが設置されています。データはB社が直接取得しており、この段階でA社はタグから収集された情報を持っていません。

　次に、A社がB社から閲覧履歴などのデータ提供を受け、かつA社が持つ会員の個人データとひも付けて使用しています。この場合、B社からA社に個人関連情報の提供が行われ、A社はそれを個人データとして取得することが想定されることになり、規制の対象となるのです。パブリックDMPの事例はこのケースと同じ整理になります。

ケース3：A社サイトの閲覧履歴とB社の会員情報をひも付け

田中：　ケース3（上図）では、A社は個人情報を持っていません。A社のWebサイトにはB社のタグが設置されています。B社は自社で会員情報として個人データを持っており、A社Webサイトの閲覧履歴とB社が持つ会員情報をひも付けて、A社に返しています。

　このケースでは、提供元基準説で考えると、B社はA社に対して「個人データ」を第三者提供していることになりますね。また、その前段階としてA社からB社に対して個人データにひも付けるためのCookie ID提供が行われているでしょうから、そこも「個人関連情報」の提供にあたり、規制を受けることになると思います。

「意図しない個人データ化」を防ぐ対応も必要

山森：　個人関連情報の提供においては、提供先で個人データとひも付けられるかどうかが規制のポイントになりますが、提供元が意図していない形で個人情報と結び付けられてしまう可能性もありますよね。その場合にも、提供元には責任が発生するのでしょうか？

田中：　個人データとのひも付けが想定されなくても、よく整理してみると、実は容易照合性はある状態だったと判明するような場合もあり得ます。ルールを潜脱するようなやり方はNGですが、「容易照合性が実はあるが、実際にはひも付けはしない」という場合にまで直ちに規制を及ぼすものではありません。

　実務上は、想定がないといえる状態にするためには、提供元と提供先の間で「提供する個人関連情報を個人データとして利用しない」といった取り決めを交わすことが非常に有益です。

　ただし、事前の取り決めに反して、提供された個人関連情報を個人データとして利用するような可能性も考えられます。仮に、実務者が不適切な実態を把握している場合には、規制に抵触する可能性があります。この場合には、単に契約で約束をしているというだけでは足りず、本当に約束が守られているかエビデンスをとるなど、一定の対策がデータ提供元には求められるでしょう。

本人への同意取得には、必要な情報提供をする

山森：　ここまで、Cookieによって収集した情報が「個人関連情報」として法規制の対象になるケースを整理してきました。規制対象になると本人の同意が必要になるわけですが、同意はどのように取得すればよいのでしょうか？

田中：　同意の取得にあたっては、次の3つを本人が認識できるようにする必要があります。

山森：　それぞれ、（1）誰がそのデータを使うのか、（2）何の情報を取得するのか、（3）データをどのように利用するのか、と表現できそうですね。

田中：　具体的な方法としては、同意フォームなどで上記の必要情報を示し、「同意する」ボタンをクリックしてもらうのが一番確実です。別の手法として、プライバシーポリシーを示してからページ遷移させるような方法も認められており、実務上はさまざまな選択肢があります。

　ただし、単にWebサイトに情報が記載されていればいいわけではなく、クリックなどの能動的なアクションが求められている点に注意してください。

プライバシーポリシーの変更は必要か？

山森：　法改正にあたって、プライバシーポリシー、Cookieポリシー、インフォマティブデータポリシーなどの文章は修正が必要になるのでしょうか？

田中：　ポイントはいろいろとありますが、データの「利用目的」の見直しはその1つになると思います。「本人が予測・想定できる程度に利用目的を特定しなければならない」とされており、ユーザーを驚かせないという観点が必要です。

　例えば「広告配信のために利用します」という記載は、利用目的が明確ではなく不十分です。「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用します」といったレベルでの具体的な記載が、今回の法改正によって求められています。

山森：　さまざまな企業のCookieポリシーやプライバシーポリシーを見ていると、法令で求められた範囲を超えて、Cookieの利用目的などを丁寧に説明しているケースも見受けられます。どこまで詳細に説明する必要があるのでしょうか？

田中：　法律が求める以上に丁寧な記載をしている企業は、プライバシーに配慮した経営をするべきという「プライバシーガバナンス」の考え方を重視しているのでしょう。また、日本よりも個人情報の定義が広く、規制が厳しいヨーロッパなどを念頭に、グローバルスタンダードを意識していると考えられます。

山森：　結果として、消費者の信頼獲得や、炎上を未然に防ぐような働きにもつながりますね。

委託先などのサーバの場所まで把握する必要あり

山森：　当社のデータセンターは世界各地にあります。海外のデータセンターに個人データを格納する場合にも、法律上の課題がありますね。

田中：　今回改正されたガイドラインには「外的環境の把握」という規制が入りました。外国で個人データを取り扱う場合は、その国の個人情報保護制度を把握した上で、安全確保のために必要かつ適切な措置を講じるよう求めるものです。

　現地法人だけではなく、営業所や駐在事務所がある場合や、外国企業に業務委託していたり、外国でテレワークをしている従業員がいたりといったケースも「外国で個人データを扱う場合」に該当します。

　クラウド事業者がどこの国にサーバを置いているのかも把握している必要があり、かなり幅広い範囲が規制の対象になっています。該当する企業は、求められれば国名などの情報を回答しなければなりません。

山森：　例えば、日本企業がアメリカのデータセンターを使ったSaaSを利用する場合、個人データ取得にあたって「情報をアメリカのサーバに格納してよいか」という本人の同意は必要なのでしょうか？

田中：　サーバの場所自体についての同意は必要ありません。国名を把握しておき、質問されたときに国名を答えられる状態にしておくことは必要になります。

　外国との関連では、「外国にある第三者への個人データの移転」についても規制が強化されています。これはサーバの所在地のようなことではなく、外国法人に個人データを提供する場合です。

　規制強化のポイントは、同意による場合の同意にあたっての情報提供義務の規制強化と、基準適合体制の整備による場合の継続的な対応と本人からの要求があった場合の情報提供義務です。

　基準適合体制の整備による場合、日本の国内法と同等の水準で個人情報が守られるよう、移転先と契約を結ぶなどし、これが維持継続されるよう管理しなければなりません。最初に一度契約を結ぶだけでなく、少なくとも1年に1回以上、移転先の個人データの取扱状況及びそれに影響を及ぼしうる移転先の外国の制度の有無と内容をチェックすることが求められています。

　近日公開の次回記事では、「プロファイリング」や「データクリーンルーム」について解説します。