全3001文字
PR

 企業などの個人情報の取り扱いを監督する個人情報保護委員会は個人情報保護法の改正案を公表した。国会に提出された改正案の焦点は「リクナビ問題」の教訓を踏まえた2つの再発防止策である。

個人情報保護法の主な概要
個人情報保護法の主な概要
[画像のクリックで拡大表示]

 「分かりにくいのであれば、リクナビを思い出してほしい」。個人情報保護委員会の担当者は2020年3月10日に国会へ提出した改正案に盛り込んだ改正項目の1つをこう説明した。その改正項目とは企業がインターネットのWebブラウザーに記録されるクッキー(cookie)などを個人データにひも付ける場合のルールである。

 個人情報保護法においてクッキーなどの識別子はWebブラウザーを識別するだけなので、単体では個人データには該当しない。改正法案は個人に関する情報のうち、個人情報や匿名加工情報、後述する仮名加工情報のいずれにも該当しないものを「個人関連情報」と名付けている。クッキーなどが該当するとみられる。

 改正案は企業が個人関連情報を他社に提供する場合に新たな規制を設ける。提供先において誰の個人情報なのかが分かる「個人データ」として取得することが想定されるときは、提供先の企業が本人の同意を得たことを確認するよう提供元に義務づける。

 ところが、この改正項目がクッキーを利用しているネット広告を規制するのではないかと一部のインターネット広告業界の関係者らの間で誤解を生んでいるようだ。同委員会の担当者はネット広告におけるクッキーの利用に影響を与えるものではないと、こうした見方を否定する。

 同委員会によるとネット広告の多くはクッキーなどを利用している一方、個人データは扱っていない。企業がクッキーを個人データと突合する場合は業界の自主ルールによってユーザーの同意を得るよう規定している。同委員会はネット広告の業界団体との協議を通じて「基本的には常識的にビジネスをされている方には何の問題もないはずだ」と強調する。

 一方で、改正項目が該当する事例として委員会が挙げたのがリクナビ問題である。リクナビ問題はネット広告の仕組みとは異なる。就職情報サイト「リクナビ」を運営するリクルートキャリアは就職活動中の学生が知らない間に、個人のWebの閲覧履歴などを内定辞退率の算出に使っていた。

 リクルートキャリアは顧客企業が個人データである就活生ごとの管理IDとリクナビでの「業界ごとの閲覧履歴」をクッキーでひも付けたり、ハッシュ化すれば個人情報に該当しないという誤った認識で就活生の同意を得ずに個人データを突合したりしていた。

 同委員会によると、規制の対象となるのはリクナビ問題のように「企業が契約に基づいて個人データとして取得するケースや、プラットフォーム上でやりとりするケースに限られる」と指摘する。企業が個人データベースに格納できる個人関連情報を他社に提供したり、自社のフォーマットに沿って個人関連情報の提供を求めたりするサービスなどが該当するという。

 個人データを管理しているのは提供先の企業なので、法律上は提供先の企業が個人データに関係がある本人の同意を得る必要がある。提供元の企業は同意が得られていることを提供先に確認する手順を踏むことになる。実際には企業間の交渉やシステムの仕組みに応じて手順を決める必要がありそうだ。

 プラットフォーム企業などがどのような手続きで個人データを取得するかによっても適用する法令は異なる。例えば個人データを保有する米フェイスブックが「いいね」ボタンを通じてほかのWebサイトから個人関連情報を取得する場合については、個人情報保護委員会はフェイスブックが直接データを取得しているもので、今回の改正項目には該当しないと指摘する。

 同委員会が2018年10月に、フェイスブックから大量の個人データを流出した問題や「いいね」ボタンの運用について行政指導をした。同委員会は「技術革新が激しい分野なので条文に合わせた運用ができるよう検討したい」と述べた。

データの利用停止や削除請求の要件を緩和

 リクナビ問題の教訓を踏まえた改正となりそうな焦点はもう1つある。個人データを管理している企業に対して個人が自らの個人データの利用停止や消去などを請求できる権利の拡充だ。