個人情報保護法改正－「個人関連情報」

個人情報保護法改正案が２０２０（令和２）年６月５日に可決され、同月１２日に公布されました。施行は公布から２年以内とされています。

本稿ではこの改正（以下「２０２０年改正」と言います。）で新たに設けられた「個人関連情報」に関する規律について概説します。

個人関連情報とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。」と定義されています（２０２０年改正個人情報保護法第２６条の２第１項）。

匿名化された情報を第三者に提供する場合において、匿名化といっても他の情報と照合することで容易に特定の個人を識別できる情報は、個人情報ということになり、本人の同意が必要です。

このとき、提供元か提供先のどちらを基準にして、容易に照合できるといえるかを判断するべきかという問題について、「提供元基準説」という考え方が採用されています（「個人情報の保護に関する法律についてのガイドライン（通則編）（案）」に関する意見募集結果１９番）。
つまり、提供する側において他の情報と照合することで容易に特定の個人を識別できる（このことを「容易照合性」と言います。）情報は、匿名化をされていても個人情報として取り扱わなければならないということであり、他方で、そうでない情報は、提供を受ける側において容易照合性があったとしても、個人情報には該当しないということです。

２０２０年改正では、提供元では容易照合性が認められず、個人データ（個人情報データベース等を構成する個人情報）には該当しない情報であったとしても、提供先では容易照合性が認められる情報を「個人関連情報」として、新たな規制が設けられました。
個人関連情報を第三者に提供することで、個人データとして取得されることが想定されるときは、本人の同意が必要になります（２０２０年改正個人情報保護法第２６条の２第１項１号）。
また、外国の第三者に提供する場合には、本人の同意を得ることに加えて、個人情報保護委員会規則で定められる、本人への情報提供のための措置を講じることが必要になります（同項２号）。

それでは、具体的にどのような情報が個人関連情報に該当するのでしょうか。

個人関連情報に関する規定が設けられた背景として、個人情報保護委員会が公表した制度改正大綱では、次のように述べられています。

○　ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合が多い。例えば、クッキー等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたところである。

○　一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「ＤＭＰ（Data Management Platform）」と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。

○　ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。

このように、個人関連情報に関する規定は、クッキー（Ｃｏｏｋｉｅ）を念頭に設けられたものであることが分かります。
とはいえ、文言上はクッキーに限定しているわけではありませんので、クッキー以外の情報であっても、提供先において容易照合性が認められる情報を提供する場合は本人の同意が必要です。

ただ、提供先で容易照合性が認められるかどうかについては、提供元では判断が困難なケースも多いと思われます。
今後様々なケースに関する情報が集積され、クッキー以外に個人関連情報該当例が公表されることが期待されます。

（２０２０年８月執筆）