弁護士・登録情報セキュリティスペシャリスト
石田 優一
関連サービス
目次
前編
第1章 2022年3月までにプライバシーポリシーの見直しを
第2章 取り扱っている個人情報の項目を見直す
1 取り扱っている個人情報の項目を見直すべき理由
2 「個人情報」の意味を理解する
3 ケーススタディ
4 Cookieの取扱い
5 個人情報の範囲を明確にしたうえでの洗い出しを
第3章 取り扱っている個人情報の利用目的を見直す
1 取り扱っている個人情報の利用目的を見直すべき理由
2 プライバシーポリシーに個人情報の利用目的を示す理由
3 利用目的をどこまで具体的に記載すべきか
4 利用目的の抜け漏れが起きやすいケース
5 各事業部門への調査によって個人情報の利用目的の洗い出しを
6 個人情報の目的外利用が発覚した場合における対応
後編
第4章 個人データの委託先への提供や共同利用
1 他の事業者に不適法に個人情報を提供していないかのチェックも重要
2 事業者間をまたいだ個人情報の取扱いの例
3 個人情報の第三者提供に関する個人情報保護法の規定
4 対象となる個人情報が「個人データ」に該当するかどうか
5 委託先への提供に関するルール
6 事業者との共同利用に関するルール
7 国外の事業者への委託・共同利用に関するルール(越境移転規制)
第5章 個人データの安全管理措置
1 安全管理措置とは
2 安全管理措置の実施状況を見直すべき理由
3 安全管理措置に関する社内ルールを策定する方法
第6章 保有個人データに関する事項の公表
1 本人の知り得る状態に置かなければならない事項
2 「保有個人データ」の意味
3 プライバシーポリシーに記載すべき安全管理措置の内容
第7章 おわりに
第1章 2022年3月までにプライバシーポリシーの見直しを
2020年6月に成立した改正個人情報保護法が、2022年4月にいよいよ施行予定です。今回の改正では、事業の規模を問わず、フリーランスを含むほとんどの事業者に影響があります。その1つとして、早急に実施しなければならない対策が、プライバシーポリシーの見直しです。
今回の改正で、取り扱っている個人データについて、情報セキュリティ対策としてどのような措置を講じているか、プライバシーポリシーなどで具体的に示すことが原則となります。また、保有個人データについて対応しなければならない義務も変わります。これらを踏まえたプライバシーポリシーの見直しが必要です。
さらに、2017年の個人情報保護法改正の際にプライバシーポリシーを制定・改訂してから、ほとんど見直すことなく放置した状態にある事業者は、少なくないと思います。その頃からはすでに5年以上の年月が経過しており、プライバシーポリシーが現在の事業内容と整合していない状態になっているケースは珍しくありません。今回の改正をきっかけに、プライバシーポリシーの内容を全面的に見直すことをおすすめします。
プライバシーポリシーの主な見直しポイントは、次の5つです。
(1) 取り扱っている個人情報の項目
(2) 取り扱っている個人情報の利用目的
(3) 個人データ(一定の要件を満たす個人情報)の委託先への提供や共同利用
(4) 個人データ(一定の要件を満たす個人情報)の安全管理措置
(5) 保有個人データに関する事項の公表
ここからは、プライバシーポリシーの主な見直しポイントについて、順を追って詳しく解説していきたいと思います。
第2章 取り扱っている個人情報の項目を見直す
1 取り扱っている個人情報の項目を見直すべき理由
プライバシーポリシーを制定する際には、ほぼ例外なく、社内で取り扱っている個人情報の項目を整理しているはずです。そのため、プライバシーポリシー改訂のためにわざわざ取り扱っている個人情報の見直しをすることが、二度手間のように思えるかもしれません。しかし、取り扱っている個人情報の項目を見直すことは、決して無駄な作業ではありません。
プライバシーポリシーに掲げられている個人情報の項目について、「事業の実態と不整合なまま放置されていた」というケースは、決して珍しくありません。その要因として、次の3点が考えられます。
(1) プライバシーポリシーを管理する部門と他部門との連携不足
プライバシーポリシーの管理状況について、総務部門・法務部門・システム管理部門などの一部の部門しか把握しておらず、かつ他部門との連携が図れていないケースは珍しくありません。そのような場合、プライバシーポリシーが各部門での事業内容の変更に対応しておらず、実態と整合しない状態で放置されているおそれがあります。
(2) 個人情報保護法に対する理解の共有不足
そもそも、個人情報保護法に対する理解が社内全体にきちんと共有されておらず、本来は個人情報として扱われるべきものが個人情報として取り扱われていないケースも珍しくはありません。そのような場合、プライバシーポリシーの管理部門が把握していないところで、プライバシーポリシーで示していない個人情報の取扱いが生じているおそれがあります。
(3) DX導入時におけるプライバシーポリシーとの整合性検証の不徹底
最近、DX(デジタル・トランスフォーメーション)の流れで、新規のDXツールを導入し、顧客や取引先の個人情報を新たな目的で利活用する企業が増えています。このようなITツールの導入時に、プライバシーポリシーとの整合性が十分に検証されていないケースがあります。
2 「個人情報」の意味を理解する
個人情報保護法第2条
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録・・・に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
(1) 実は難しい「個人情報」の意味
「個人情報」という言葉は、今や日常用語のように世の中にあふれています。ただ、「そもそも個人情報とは何か」というのは、個人情報保護法の中でかなり難しい論点です。
「個人情報」とは、おおむね次の要件を満たすものであると整理することができます。
(a) 個人に関する情報であって
(b) その個人が生存しており
(c) 次のいずれかであるもの
(α)その情報に含まれる一切の事項により特定の個人を識別することができるもの
(β)個人識別符号が含まれるもの
「個人に関する情報」(個人関連情報)の範囲と、「特定の個人を識別することができる」(特定個人識別性)や「個人識別符号」の意味について、詳しく説明します。
(2) 個人関連情報の範囲
個人関連情報については、個人に関連したあらゆる情報を含む広い意味であると一般に解釈されています。例えば、ある人の肩書や経歴、資格、さらには、購買履歴や位置情報なども、個人関連情報に含まれると考えられます。
個人情報保護法ガイドライン(以下「GL」といいます。)通則編によれば、個人関連情報には、事実だけではなく、判断や評価も含まれるとされています。例えば、ある人の過去の購買履歴をAIで分析・推論したその人の趣味・嗜好は、個人関連情報に含まれうるものと考えられます。DXツールで個々の顧客の傾向を分析した結果を利活用する場合、その分析・推論結果も個人関連情報となりうることに、注意が必要です。
(3) 特定個人識別性の意味
個人関連情報のうち、特定個人識別性のあるものが、「個人情報」に該当します。
(1)個人関連情報に含まれる情報や、それ以外の通常業務における一般的な方法で容易に照合(いわゆる「紐付け」)することができる情報から、(2)一般人の判断力や理解力により、(3)具体的な人物(特定の1人)のことを指していると社会通念上判断することができるのであれば、特定個人識別性が認められます(GL通則編、GL仮名加工情報・匿名加工情報編)。
もっとも、特定個人識別性の判断基準には、「一般人の判断力や理解力」「社会通念上」といった曖昧な要素が含まれているため、「特定個人識別性がある場合」と「特定個人識別性がない場合」の線引きは曖昧です。具体的には、(1)社会的にその情報にどのような意味があるか、(2)本人との結びつきがどの程度強いものか、(3)不変なものか、(4)その情報から本人にたどり着くことがどこまで容易かといった様々な要素を踏まえて、ケースバイケースで判断することになります。
特定個人識別性の意味については、後ほどケーススタディ形式で改めて検討したいと思います。
(4) 個人識別符号の意味
個人識別符号の意味については、個人情報保護法施行令第1条で明確に定められています。個人識別符号に該当するかどうかは、個人情報保護法施行令第1条の定義に照らして判断することになります。個人識別符号の該当例は、次のとおりです。
・顔認証情報、虹彩認証情報、声紋認証情報、静脈認証情報
・パスポート・年金手帳・マイナンバーカード・運転免許証・保険証の記番号
個人識別符号は、特定個人識別性につながる情報であるかどうかが不明瞭とされてきたものの一部について、特定個人識別性につながる情報であることを法令で明瞭化したものです。携帯電話番号、クレジットカード番号、口座番号などは個人識別符号とされていませんが、その理由は、これらの番号が特定個人識別性につながる情報であるかどうかがケースバイケースであると考えられたためです。これらの番号が「特定個人識別性につながる情報ではない」とは限らないことには、注意が必要です。
3 ケーススタディ
X社は、全国に商業施設を展開している企業です。X社では、新たに、顧客の入店から会計までの行動をカメラで追って、行動履歴を顧客の購入商品と照合させることで、顧客の店舗内での行動と購入商品との関係性を分析するAIツールを開発することにしました。なお、このツールにおいては、顔や歩き方の特徴といった人物の特定につながる情報は取得しないように配慮されています。また、X社では、顧客にポイントカードを発行して、会計時にポイントカードを提示するとポイントが貯まる仕組みになっています。ポイントカードの発行時には、顧客の居住市町村、生年月日、電話番号を登録することになっていますが、氏名や住所については登録対象となっていません。AIツールのシステム、会計システム、ポイントカードの管理システムは、いずれもX社のシステム管理部門において管理されています。
(1) 検討課題
X社は、個人に関連しそうな様々な情報を収集したり、その情報から新たな分析結果を生み出したりしています。まずは、これらの情報が、個人関連情報に該当するかどうかを検討しなければなりません。そして、個人関連情報に該当するものについては、特定個人識別性があるかどうかを検討しなければなりません。なお、このケースにおいてX社が収集する情報に、個人識別符号はありません。
(2) 個人関連情報
前述したように、個人関連情報は、個人に関連したあらゆる情報を含む広い意味で、事実のほか、判断や評価も含まれるとされています。
居住市町村・生年月日・電話番号のほか、行動履歴や購買履歴も、特定の人物の行動に関する情報であることから、個人関連情報に該当するものと考えられます。さらに、行動履歴や購買履歴をAIツールで分析して得られた結果も、個人の行動傾向を推測しうるものであることから、同様に個人関連情報に該当するものと考えられます。
つまり、このケースにおける個人関連情報のリストは、次のとおりです。
・居住市町村
・生年月日
・電話番号
・行動履歴
・購買履歴
・AIツールで分析した結果
(3) 特定個人識別性
前述したように、特定個人識別性が認められるのは、一般人の判断力や理解力により、具体的な人物(特定の1人)のことを指していると社会通念上判断することができる場合です。
ア 電話番号
電話番号について、GLでは、一般に単独で特定個人識別性を肯定する要素になるかどうか見解が示されていません。
最近のオンラインサービスでは、携帯電話番号がオンラインサービスの認証IDとして使用されたり、携帯電話番号にSMSを送信して本人認証をしたりするものが増えてきています。また、日常生活でも、携帯電話番号を電話帳機能に登録して、架電の相手を携帯電話番号で識別することが一般的です。さらに、番号ポータビリティの導入により、携帯電話番号を生涯変更せずに使用し続けることが珍しくありません。これらの点を重視すれば、電話番号は、具体的な人物(特定の1人)を指す情報の1つとして理解されることが一般的になっており、そのような理解がもはや社会通念になっているという考え方ができます。
一方で、電話番号は、氏名のように日常生活で本人を特定するIDとして機能しているものではなく、パスポート・年金手帳・マイナンバーカード・運転免許証・保険証などの身分証明書に掲載されるものでもありません。また、番号ポータビリティが導入されているとはいえ、キャリアの変更で携帯電話番号を変更するケースもいまだに少なくないことも、本人との結びつきが小さい要素といえます。これらの点を重視すれば、電話番号が具体的な人物(特定の1人)を指す情報の1つであるという理解は一部の人にしか浸透しておらず、社会通念にはなっていないという考え方もできます。
結局、電話番号が単独で特定個人識別性を肯定する要素になるかどうかについては、いずれの見解もありうるところです。
イ 居住市町村・生年月日
居住市町村・生年月日は、これらだけで特定の1人を識別することは一般に困難であるため、単独で特定個人識別性を肯定する要素にはならないと考えられます。
もっとも、居住市町村・生年月日の情報が電話番号と紐付けられた場合は、その電話番号が「具体的にだれを指しているのか」をより明確にする情報として機能しえます。このような点をとらえて、居住市町村・生年月日を、電話番号と相まって特定個人識別性を肯定する要素としてとらえる考え方ができます。
このような考え方を前提にした場合、居住市町村・生年月日の情報は、(単独で特定個人識別性を認めることができるかどうかが曖昧な)電話番号の特定個人識別性を補完するものとして機能することになります。
ウ 行動履歴・購買履歴・AIツールで分析した結果
行動履歴・購買履歴・AIツールで分析した結果は、単独で特定個人識別性を肯定する要素にはならないと考えられます。ただし、居住市町村・生年月日・電話番号との組合せで考えると、特定個人識別性が認められる可能性があります。
(a) 居住市町村・生年月日・電話番号の特定個人識別性が否定される場合
居住市町村・生年月日・電話番号の特定個人識別性が否定されるのであれば、行動履歴・購買履歴・AIツールで分析した結果にも特定個人識別性は認められません。つまり、X社が取り扱う情報はいずれも「個人情報」ではないとの結論になります。
(b) 居住市町村・生年月日・電話番号の特定個人識別性が肯定される場合
居住市町村・生年月日・電話番号の特定個人識別性が肯定されるのであれば、行動履歴・購買履歴・AIツールで分析した結果についても特定個人識別性が認められる可能性があります。
X社が導入したAIツールは、顧客が入店してから会計に向かうまでの行動を追跡したうえで、会計レジの場所と会計が行われた時刻とで会計システムの購買履歴と行動履歴を紐付ける仕組みになっています。一方、ポイントカードの管理システムは、会計システムと紐付いていることから、AIツールの情報とポイントカードの管理システムの情報とは、購買履歴という共通キーによって紐付けることが技術上可能であると考えられます。
そして、AIツールのシステム、会計システム、ポイントカードの管理システムが、いずれも同一の部門において管理されていることも踏まえれば、行動履歴・購買履歴・AIツールで分析した結果は、居住市町村・生年月日・電話番号と容易に照合することができるものと考えられます。
このように考えれば、行動履歴・購買履歴・AIツールで分析した結果も、特定個人識別性が認められることになります。
(4) まとめ
居住市町村・生年月日・電話番号・行動履歴・購買履歴・AIツールで分析した結果は、(「個人情報」には該当しないという見方もできますが)いずれも「個人情報」に該当する可能性があります。「個人情報」に該当するかどうかが曖昧な情報については、「個人情報」に該当することを前提にプライバシーポリシーに盛り込んでいくことが、無難な対応です。
4 Cookieの取扱い
サイトなどでCookieを取り扱う場合には、Cookieの利用についてプライバシーポリシーに示すべき場合があります。「個人情報保護法改正で変わる!Cookie規制を弁護士が解説」で詳しく取り上げていますので、そちらをお読みください。
5 個人情報の範囲を明確にしたうえでの洗い出しを
プライバシーポリシー改訂にあたっては、各事業部門において、現在取り扱っている個人情報の項目を漏れなく洗い出すことが必要です。
もっとも、そもそも「個人情報」の意味は不明瞭ですので、このような洗い出しを実施する前には、社内の方針として「個人情報」として取り扱う範囲を画定させて、社内全体で共有しておく必要があります。このような対応は、プライバシーポリシーの管理部門や法務部門が連携しつつ、最終的には経営陣の了承をもとに進めるべきです。
第3章 取り扱っている個人情報の利用目的を見直す
1 取り扱っている個人情報の利用目的を見直すべき理由
(1) 事業の実態との不整合を解消すべき観点
取り扱っている個人情報の利用目的を見直すべき理由は、個人情報の項目を見直すべき理由として前章で取り上げたことと基本的に同じです。
プライバシーポリシーに掲げられている個人情報の利用目的についても、事業の実態と不整合なまま放置されるケースは珍しくありませんので、個人情報の項目とともに見直しを実施すべきです。
(2) 改正個人情報保護法を踏まえた観点
2022年4月から施行される改正個人情報保護法においては、事業者が保有個人データの利用を継続する必要がなくなった場合に、本人がその保有個人データの利用停止・消去を求めることができるようになります(改正法30条5項)。そのため、長期間の利用継続が必要な個人情報については、そのような形態での利用の正当性を説明することができるように、利用目的をプライバシーポリシーで明確化しておくことが一層重要になります。
2 プライバシーポリシーに個人情報の利用目的を示す理由
個人情報保護法では、個人情報を取り扱う際に、利用目的を「できる限り特定」して、その利用目的を公表するなどしなければならない義務が定められています(法15条1項、18条1項)。また、契約書や申込書、問合せフォームなどで本人から直接個人情報を取得する際には、利用目的を「明示」しなければならない義務が定められています(法18条2項)。
個人情報の利用目的をプライバシーポリシーに記載することは、個人情報保護法上の義務として位置づけられます。
3 利用目的をどこまで具体的に記載すべきか
前述のとおり、プライバシーポリシーに記載する利用目的は、できる限り特定しなければなりません。具体的には、本人が個人情報をどのような事業のために、どのような目的で利用されるのか、一般的・合理的に想定できる程度に特定しなければならないとされます。
例えば、前章で取り上げたケースにおいて、利用目的の特定として不十分な例と十分な例は、次のとおりです。
【不十分な例】
当社は、お客様の当社店舗内の行動履歴をカメラで取得して、サービスの向上のために利用します。
【十分な例】
当社は、お客様の当社店舗内の行動履歴をカメラで取得したうえで、お客様の購買履歴と照合することで、お客様の当社店舗内での行動傾向と購買傾向との関係性を分析します。その分析結果は、店舗内の商品・備品の配置、内装その他レイアウトの改善のために利用します。
「サービスの向上のため」「お客様対応の改善のため」といった抽象的な表現を用いているプライバシーポリシーはしばしば見られますが、このような記載方法では、できる限り特定したとはいえません。本人が、プライバシーポリシーを読んだだけで、自分の個人情報がどうやって利用されるのかを具体的にイメージしやすい記載方法が求められます。
ただし、利用目的を過度に詳細に記載することによって、公開していない技術情報を明らかにしてしまうことのないように注意が必要です。利用目的の検討に際しては、法務部門やシステム管理部門との連携が求められます。
4 利用目的の抜け漏れが起きやすいケース
(1) 導入したDXツールに整合した利用目的が記載されていない
昨今のDXブームで、業務効率化や顧客分析などの目的でDXを導入する企業が増えています。ただ、DXの導入がプライバシーポリシーの管理部門の関与なく実施された場合、DXで個人情報を新たな目的に利用することになったにもかかわらず、それがプライバシーポリシーに反映されない問題が起こります。
(2) 新規サービスを開始する際に新たに生じた利用目的が記載されていない
(1)と重なる問題ですが、新規サービスがプライバシーポリシーの管理部門の関与なく企画された場合、個人情報を新たな目的に利用することになったにもかかわらず、それがプライバシーポリシーに反映されない問題が起こります。
5 各事業部門への調査によって個人情報の利用目的の洗い出しを
プライバシーポリシー改訂にあたっては、各事業部門において調査を実施して、現在の個人情報の取扱方法がプライバシーポリシーに記載している利用目的の範囲を超えていないか、確認する作業が必要です。
また、今後導入する予定のDXツールや新規サービスについても確認して、プライバシーポリシーに記載している個人情報の利用目的を変更する必要がないか、確認する作業も必要です。
これらの作業は、法務部門やシステム管理部門との連携のもと、最終的には経営陣の了承をもとに進めるべきです。
6 個人情報の目的外利用が発覚した場合における対応
各事業部門への調査によって個人情報の利用目的の洗い出しを実施している際には、個人情報の目的外利用が発覚する可能性があります。その場合における対応方針としては、次のいずれかが考えられます。どのような方針で進めるかについては、プライバシーポリシーの管理部門と事業部門との間で調整を図りつつ、最終的には経営陣の了承のもとで決定すべきです。
(1) 個人情報の目的外利用を中止する対応
もっとも望ましい対応は、個人情報の目的外利用を中止することです。目的外利用をしている個人情報が「保有個人データ」に該当する場合、本人からの請求があれば、利用停止・消去の対応をしなければなりません(法30条1項)。また、目的外利用をしている個人情報が「保有個人データ」に該当しないとしても、本人の同意を得ない目的外利用が違法である以上(法16条1項)、そのまま目的外利用を継続することは適切ではありません。まずは、個人情報の目的外利用を中止することができないか、検討すべきです。
もっとも、目的外利用が事業継続上必要・有用であるケースや、目的外利用を開始する際に多額の投資をしたケースであれば、目的外利用の中止が現実的でないこともあります。そのような場合であれば、その他の対応方針を検討しなければなりません。
(2) 個別に本人の同意を得る対応
個人情報の目的外利用は、本人の同意があれば適法に行うことができます(法16条1項)。そこで、既存の個人情報については、個別に本人の同意を得る対応が考えられます。
もっとも、対象となる本人の数が多い場合には、個別に本人の同意を得る対応は現実的でありませんので、その他の対応方針を検討しなければなりません。
(3) 既存の個人情報について利用目的を変更する対応
個人情報保護法第15条
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
プライバシーポリシーに記載する利用目的を変更しても、改訂後の内容は、改訂前に取扱いを開始した個人情報には原則として及びません。ただし、改訂後に新たにプライバシーポリシーに記載した利用目的が、改訂前にプライバシーポリシーに記載していた利用目的と「関連性を有すると合理的に認められる範囲」内にあれば、改訂前に取扱いを開始した個人情報についても、改訂後の利用目的で利用することができます。
例えば、「既存のサービスの広告」を「既存又は新規のサービスの広告」に変更したり、「当社のサービスの広告」を「当社又はグループ会社のサービスの広告」に変更したりすることは、要件を満たすものと考えられます。
ただ、このような軽微なレベルの変更を超えて、柔軟な変更が認められるかどうかについては、様々な議論があります。既存の個人情報について利用目的を変更することは、慎重に判断すべきです。
(4) 既存の個人情報について仮名加工情報や匿名加工情報にする対応
(1)から(3)までのいずれの対応も採用しづらい場合には、既存の個人情報を加工して、仮名加工情報や匿名加工情報にする対応が考えられます。仮名加工情報や匿名加工情報については、「個人情報保護法改正で変わる!仮名加工情報と匿名加工情報の利活用を弁護士が解説」で詳しく取り上げていますので、そちらをお読みください。
(5) まとめ
(1)から(3)までで取り上げた対応方針は、いずれも一長一短の面があります。また、(4)の仮名加工情報・匿名加工情報への加工は、コストとのバランスが問題になります。それぞれの対応方針のメリット・デメリットを比較しながら、最適な対応を検討する必要があります。