「個人情報関係」カテゴリーアーカイブ

第7回(完):個人データの漏えいが生じた場合の対応

企業や金融機関の管理する個人データには、様々な情報が紐付けられており、その情報を獲得して不正な利益を獲得しようと、組織的に企業のデータベースや情報管理システム、決済システムなどに侵入を繰り返す者が後を絶ちません。彼らは、システムの脆弱性を探したり、メール等にウイルス感染させるURLを添付するなど、様々な方法を駆使して、システムに侵入し、個人データを持ち出します。また、企業内部の不用意なデータの扱いにより、意図せず、個人情報を含むデータが漏えいすることもあります。

個人データが漏えいすると、個人は、自身の様々なデータがネット上に晒されるなどしてプライバシー等の侵害がされるとともに、二次利用(悪用)により、財産的な被害を受けることもあります。したがって、現行の個人情報保護法では、個人情報取扱事業者に保有個人データの安全管理義務を定め、従業者や委託先の監督義務を課して、情報漏えいが起きないような態勢作りを求めています。しかし、実際に個人データが流出してしまった場合に、情報が漏えいした事実を公表したり、本人への通知することは義務づけられていませんでした。

1.漏えい等の事案が生じたときの現行の対応

現行法制度では、個人情報委員会は、「個人情報の保護に関する法律のガイドライン(通則編)」で、個人データが漏えいした場合に、「漏洩等の事案が発生した場合等において、二次被害の防止、類似事案の発生防止等の観点から」実施することが望まれる対応を別途定めています。その内容は、平成28年個人情報保護委員会告示1号「個人データの漏洩等の事案が発生した場合の対応について」において、以下の通り、とるべき望ましい体制が定められています。

①事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。

②事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。

③影響範囲の特定
上記②で把握した事実関係による影響の範囲を特定する。

④再発防止策の検討及び実施
上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。

⑤影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。

⑥事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する

2.金融機関における現行の対応

一方、個人情報保護のガイドラインとは別に、銀行、保険会社、貸金業者などの金融機関には、金融分野ガイドライン、また、クレジット会社には、信用分野ガイドラインが別途存在し、以下の通り、対応することが定められています。

【金融分野ガイドライン】

17 条 個人情報等の漏えい事案等への対応

1 金融分野における個人情報取扱事業者は、個人情報の漏えい事案等又は匿名加工情報 の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第 36 条第1項の規定により行った加工の方法に関する情報の漏えい事案の事故が発生した場合には、監督当局等に直ちに報告することとする。  

2 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表することとする。

3 金融分野における個人情報取扱事業者は、個人情報等の漏えい事案等の事故が発生し た場合には、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うこととする。
【信用分野ガイドライン】

与信事業者は、自己の取り扱う個人データ(受託者が取り扱うものを含む。)の漏えい等の事故が発生した場合には、その事実関係、発生原因、対応策その他の漏えい等に関する事項を可能な限り速やかに、(略)経済産業省及び認定個人情報保護団体に報告しなければならない。また、加工方法等情報の漏えいの事故が発生した場合にも同様に報告することとする。さらに所属する業界団体等の関係機関に報告することが望ましい。  

ア 認定個人情報保護団体の業務の対象となる与信事業者(以下「対象事業者」という。)は、経済産業大臣への報告に代えて、認定個人情報保護団体に報告することができる。認定個人情報保護団体は、対象事業者の事故又は違反の概況を経済産業省に定期的に報告する。ただし、対象事業者は、以下の場合は、経済産業大臣に、逐次速やかに報告することが望ましい。

・Ⅱ.2.⑵に定める機微(センシティブ)情報を含む個人データを漏えいした場合
・信用情報、クレジットカード番号等を含む個人データが漏えいした場合であって、二次被害が発生する可能性が高い場合
・漏えい等の発生規模が大きい場合
・同一事業者において漏えい等の事故(特に同種事案)が繰り返し発生した場合
・その他認定個人情報保護団体が必要と考える場合

金融機関ガイドラインの対象事業者にとっては、個人情報漏えいがあれば、一定の場合に、漏えい事実の報告と公表などが定められ、本人への通知も求められていますが、法制化により、今後はより早期に、確実に対応することが求められると考えられます。

3.改正法による重大漏洩についての個別通知義務化            

 改正法では、個人情報取扱事業者全般に対し、「その取り扱う個人データの漏えい、滅失、 毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない」(改正法22条の2第1項)として、報告義務を定めました。また、同時に、「本人に対し、個人情報保護委員規則で定めるところにより、当該事態が生じた旨を通知しなければならない」(同第2項)と通知義務を定めています。

報告の対象となる漏えい事案、本人通知の対象となる事案については、「個人情報保護委員会規則において定める」とされています。対象事案としては、漏えいした個人データの性質、漏えいの態様、規模等の観点から、「個人の権利利益を害するおそれが大きいもの」が規定されるものと考えられますが、一般的には、要配慮個人情報など機微情報や不正アクセスにより漏えいが起きた場合や漏えい件数が多数に上る場合が想定されます。

金融機関関連では、信用情報やクレジットカード番号等の漏えいなど、財産的被害に至る恐れがある個人データの漏洩等が想定されます。これらは、漏えい件数にかかわらず、報告を求められる可能性が高いと考えられます。

報告先は、個人情報保護委員会になりますが、改正法44条1項において報告受理権限が事業所管大臣に委任することが可能とされており、金融機関は従来通り金融庁長官に、クレジット会社は経済産業大臣に報告することになると思われます。

4.金融機関の実務への影響

金融機関は、金融分野ガイドラインにおいて、個人情報の漏えい事案につき、報告が実質的に義務化されており、報告すべき事案についても大きな変更はないものと考えられます。また、公表及び本人の通知についても同様です。しかし、クレジット会社の場合は、経済産業大臣への届け出が必要な事案は限定されており、本人への通知は義務づけられていなかったため、施行までに、具体的にどのような方法(文書の郵送、電子メール等の送信など)で通知するのか、検討する必要があります。また、業法的な規制を受けていない決済関連事業者や決済事業者、通販サイトやECサイトの運営関連企業にとっては、クレジットカード会社と同様に対応する必要があると考えられます。

さらに、「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき」は、本人に個別の通知義務を免れることができますが、どのような事案の場合に、どんな方法が考えられるかもあらかじめ検討が必要と考えられます。

漏えい事実の公表や個別通知が必要になると莫大な費用が発生するだけでなく、安全管理を怠ったとして、債務不履行などに基づく損害賠償請求も多発することが予想されます。個人情報取扱事業者は、改めて、自社の安全管理措置を徹底し、情報システムの点検をはじめ、漏えい等の発生防止に努めることが極めて重要です。

※本コラムでは「漏えい」を用いていますが、法令等の引用については原文のまま転載しています。

本内容の引用・転載を禁止します。

第6回:利用停止等や第三者提供の停止の請求

今回の個人情報保護法の改正で、金融機関が最も留意すべきと思われるのが、今回のテーマです。従来から、個人情報保護法に基づき、企業の持つ顧客情報の開示請求をしたうえ、利用停止や消去などを求めることが可能でした。しかし、実際に利用停止等ができるのは、個人情報取扱事業者において個人情報の取り扱いに違反行為があった場合に限られていました。今回の改正により、個人が権利行使できる事由が大きく拡大されましたので、対応上の留意点や今後の取り組むべき課題について解説します。

―現行の利用停止等や第三者提供の停止の請求

現行の個人情報保護法では、保有個人データが法16条の規定に違反して取り扱われているとき、又は、17条の規定に違反して取得されたものであるときに、その保有個人データの利用の停止や消去(以下「利用停止等」という。)を請求することができるとされています(法30条1項)。つまり、個人は、個人情報取扱事業者が「特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱っている」(法16条1項違反)、「事業承継等に伴い、法令に規定する場合を除き、事前に同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱っている」(法16条2項違反)、もしくは、「偽りその他不正の手段により個人情報を取得している」(法17条1項違反)、「同意を得ないで個人情報を収集した」(法17条2項違反)場合に、その個人情報取扱事業者の保有する個人データの利用停止等を請求できます。

また、保有個人データの第三者への提供を停止することは、法23条第1項又は第24条の規定に違反して第三者に提供されているとき、すなわち、本人の同意なく、保有個人データを第三者に提供している場合に限られていました。

したがって、これらの法令違反以外の理由、例えば「取引が終了したから、消去してほしい」と申し出ても、利用停止等の請求は認められませんでした。

―新たに、利用停止等の請求理由が拡大された

2020年改正法では、利用停止等の請求事由について、新設された法16条の2が追加され、「違法または不当な行為を助長し、又は誘発するおそれがある方法での利用の禁止」に対する違反が追加されました(改正法30条1項)。また、新たに利用停止等及び第三者提供の停止の共通の請求事由として、「保有個人データを利用する必要がなくなった場合」と「法22条の2第1項本文に規定する事態が生じた場合」、「その他本人の権利、又は正当な利益が害される恐れが生じた場合」が追加されました。(改正法30条5項)

つまり、個人情報取扱事業者が違反行為をしているとはいえなくても、「違法または不当な行為を助長し、又は誘発するおそれがある方法で利用している場合」にも、利用の停止と消去の請求ができるようになりました。また、個人情報取扱事業者が「利用する必要性が終了した」、「個人情報の漏洩、滅失、棄損、その他個人データの安全の確保に係る事態であって、個人情報保護委員会の定める個人の権利利益を侵害するおそれが大きい事態が生じた」、「その他本人の権利、又は正当な利益が害されるおそれが生じた」場合には、利用停止と消去、第三者提供の停止の請求ができることになりました。これらの事由追加により、利用停止や消去、第三者提供の停止の要請は、従来より格段に増加するものと考えられます。

なお、上記の請求が具体的にどのようなケースにおいて認められるのかは、今後個人情報保護委員会の定める個人情報ガイドラインや、金融分野、信用分野、債権管理回収業分野ごとに定めてある個人情報保護ガイドラインにおいて明記されることが期待されます。

―現時点での問題点

ところで、新たに認められた請求事由のうち、最も気になるのが、取引終了時の利用停止・削除請求です。金融機関は、取引を開始して以降、顧客に関する様々な情報を取引に付随して取得し、必要に応じて保有しています。個人の属性情報だけでなく、取引時確認で得た本人特定情報(画像情報含む)、審査時に用いた収入や資産等に関する情報、取引の開始により発生した取引事実と決済履歴、信用情報機関から得た情報などがあります。また、金融機関のAML/CFT対策に伴う送金先等を含むモニタリング情報なども含まれます。

これらの情報は、現在進行中の他の取引や将来の当該人との再取引、取引実績等に基づく今後の取引の勧誘や審査モデル等の情報として蓄積され、活用が予定されています。しかし、個人が金融機関との預金取引、ローンカード・クレジットカードの解約、保険契約の満了や解約などに伴い取引が終了したこと(以下「取引終了」という)を理由として、情報の利用停止や消去を要求すると、金融機関等の業務に多大な影響が生じます。金融機関は、各種業法や犯罪収益移転防止法等の規定や内部管理目的などで、取引継続中はもちろん、取引終了後であっても顧客との取引に付随する情報を記録し、一定期間保存しなければならないとされており、また、個人への適正与信や適合性原則に基づく取引の判断などにも望ましくない事態が生じかねません。したがって、取引終了に伴い、顧客から自己の情報の利用停止や情報を消去することの要請を受けても、「法令等に基づく本人確認等や金融商品やサービスの利用資格等の確認のため」「契約や法律等に基づく権利の行使や義務の履行のため」などの利用が継続できるものと考えられます。

また、取引終了に伴う第三者提供の停止の請求についても、多重債務防止や過剰貸付の目的で、外部信用情報機関に顧客との取引内容や返済状況などの情報項目の提供が一定期間継続されなければならないことが、信用情報機関との契約により求められています。

したがって、顧客の利用停止等の要請があっても、応じることができない利用目的が存在することなどを、「個人情報の保護に関する法律に基づく公表事項」において丁寧に説明しておく必要があります。

しかしながら、金融機関が独自に設定した利用目的、例えば、「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」「ダイレクトメールの発送等、金融商品やサービスに関する各種ご提案やご案内のため」といった利用目的での利用は、取引終了に伴い、要請されれば、利用を停止する必要があると考えられます。

―必要な情報は、匿名加工情報を利用する

では、個人の取引終了に伴い、金融機関の保有する情報のうち、金融機関独自の目的で利用する特定の情報項目の削除請求が行われるときはどうすればよいのでしょうか。たとえば、ダイレクトメールの発送や電話勧誘等の利用を停止する請求があり、氏名や住所、電話番号などの情報の削除要請が考えられます。

この場合、他目的で氏名等の情報を利用することを考慮すると、削除請求に応じられないのは明らかです。そこで、情報の削除ではなく、利用目的に応じて、ダイレクトメールや電話勧誘用のデータを抽出するときに当該申し出顧客を抽出除外対象とするなどのシステム対応することが考えられます。このように、利用停止や消去の要請を受けることを考慮し、利用目的ごとに保有個人データの抽出制限を可能とするなど、代替措置を考える必要があります。

 なお、保有個人データを信用判定やスコア分析などのほか、各種リスクの把握および管理のために使う場合が考えられます。このような利用の停止や消去要請に対応しがたい情報の利用停止・消去等の請求に対して、今回の改正法で新設された「仮名加工情報」に加工して、内部での利用を検討することが考えられます。「仮名加工情報」については、開示請求の対象外であり、利用停止等の対応は不要です。また、公表済みの利用目的にかかわらず、利用目的の変更ができます。したがって、開示請求や利用停止等の請求になじまない顧客情報は、仮名加工情報に加工することで、「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」だけでなく、新たな利用目的に変更して、取引終了後も利用を継続することが考えられます。

本内容の引用・転載を禁止します。

第5回:個人情報~情報の開示請求等の範囲の拡大

個人情報取扱事業者の保有する個人データを本人に開示するという仕組みは、OECD8原則のうち個人参加の原則に対応するものです。個人データの開示は、利用目的等の通知、公表等の仕組みと相まって、個人の情報の訂正や利用停止等の権利行使につながり、個人情報の取扱いの透明性を高めるものです。個人情報保護法では、平成27年の改正で、個人情報取扱事業者が保有する個人データについて、情報主体からの請求が認められることが明確になりました。これにより、個人情報取扱事業者は、個人からの開示請求に適切に応じることが必要になりました。しかし、個人情報保護委員会が開設している「相談ダイヤル」には事業者の開示内容や開示方法、開示に対して消極的であるなどの不満が多く寄せられていました。

また、個人情報の開示方法は、「原則として書面」(施行規則9条)とされており、個人情報委員会が令和2年3月に公表した「個人情報の適正な取扱いに関する実態調査(令和元年度)報告書」によれば、保有データ数が多いほどデータは電磁的記録で保存されているものの、保有データ数にかかわらず、9割前後の事業者が書面で開示しています。しかし、膨大な情報を印字した書面で交付されても、検索が困難であり、その内容を十分に認識することができないおそれがありました。また、保有個人データが音声や動画である場合は、その内容を書面上に再現すること自体が困難であるという問題もありました。

これらの理由により、個人データの開示に関して大きな改正が行われました。

― 開示対象範囲が拡大されました

2020年6月に成立した改正個人情報保護法案では、今までより、開示請求できる情報の範囲が拡大し、従来は、開示の対象外とされていた6カ月以内に消去する個人データが開示対象になりました。短期間で消去される個人データは、利用する期間が限られており、個人の権利利益を侵害する危険性が低く、開示請求等が行われるまでに消去されてしまう可能性が高いことから、あえて個人情報取扱事業者に開示請求等のコストを負担させることを避けていました。

しかし、ICTの活用が進み、採用に応募した記録、スマートフォンなどを使ったクイズやキャンペーンへの応募、お試しサービスの会員登録などが容易になり、短期間で膨大なデジタルデータが収集されるようになりました。これらのデータは短期間とはいえ、サーバ等に保存されます。保存期間中に不正アクセスなどにより漏洩等が発生すれば、保存期間の長短にかかわらず、たちまち拡散する危険があることに変わりがありません。すぐに消去される予定の個人データであっても、いったん漏洩が起きれば、インターネット上のどこかのサーバに記録され、長期間他人の目にさらされてしまうことにもなりかねません。そこで、短期保有情報であっても、個人の権利利益を侵害する危険性が低いとは限らないことから、開示対象の保有個人データに含めるとともに、安全管理措置を講じることが求められるようになりました。

―開示方法はデジタル開示が原則に

現在の開示方法は、書面によることが原則で、「開示の請求を行った者が同意した方法があるときは、当該方法」とされています。 しかし、書面では開示が難しい画像、音声、電磁的記録が存在すること、及び今年の通常国会でいわゆる「デジタル手続法」が成立したことなどを踏まえ、開示請求で得た保有個人データの利用等における本人の利便性向上の観点から、本人が、電磁的記録の提供を含め、開示方法を指示できるようになりました。また、開示請求を受けた個人情報取扱事業者には、原則として、本人が指示した方法により開示することを義務付けることになりました。

ただし、紙で保存している事業者も多く存在しており、全て電磁的記録として提供しなければならないのではなく、当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難な場合は、書面の交付による開示を認めることとし、その旨を本人に対し通知することを義務付けることとなっています。

―第三者提供記録の開示を義務化

今回の改正で、本人は、事業者に対して、事業者が個人情報保護法上作成を義務付けられている下記の第三者提供記録の開示を請求することができるようになります(法28条5項)。

 ① 個人データを第三者提供したときに事業者が作成する記録(法 25 条 1 項)

 ② 個人データの第三者提供を受けたときに事業者が作成する確認記録(法 26 条 3 項)

現行法では、事業者は第三者提供を行ったり、受けたりしたときに所定の記録を作成する義務を負っていますが、この記録を本人に開示をするという前提にはなっていませんでした。しかし、今後、第三者提供関係の記録が開示請求の対象となることで、事業者は開示対象の記録と内部で使用する記録を分離するなど、開示対象を明確にして作成しておく必要があります。

―開示における留意点と検討すべき事項

開示対象の個人データの拡大については、プライバシーマーク取得事業者など、6か月以内に消去する個人情報も含め、開示等の求めに原則応じることとしている業者を除き、新たに開示請求に対応する必要があります。短期間で消去するデータとして安全管理措置を軽減していた場合には、その見直しが必要になります。

保有個人データの開示は、単にデジタル化されたデータを事業者の任意のフォーマットで提供できるだけでなく、本人が様々な方法を指定してくることを考慮する必要があります。例えば電子メールでの提供、特定のフォーマット化したファイルに記録しての提供など様々な請求を受ける可能性があります。多額の費用や時間を要する提供、セキュリティ上問題のある提供など、例外要件を充足するものは拒むことができますが、トラブルも予想されます。開示の手順や対応可能な方法を検討するとともに、どのような提供方法が推奨されるか、例示するなどして開示請求者の理解を求めるなどの対応が必要でしょう。

また、デジタルによる開示請求が原則となったことで、通話記録やATMなどの監視カメラの画像データの開示請求が増加することが考えられます。通話記録の中には、業務上支障のあるデータが含まれている可能性もあります。どのような内容であれば、該当部分を消去等して提供できるのか、全てを開示の対象外とする例外適用できるのか、などの検討が必要です。

最後に、第三者提供記録の公表についてですが、第三者提供記録の作成義務は、単にデータ提供に係る契約書を作成すること等により履行している例も多いと思われます。そうすると、法的記録内容をどのようなフォーマットに落として、開示に応じるべきかの検討が必要です。

これらの検討事項は、ガイドライン等で明らかにされることが予想されますので、今後のガイドライン等の内容を注視して実務の対応マニュアルを整備していく必要があると言えます。

本内容の引用・転載を禁止します。

第4回:仮名加工情報による情報活用範囲の拡大

6月5日に、個人情報保護法の改正法案が国会で可決され、成立しました。前回は、個人情報保護法で取り扱う情報類型が拡大し、「個人関連情報」という概念が設けられたこと、提供する側で個人情報に該当しない「個人関連情報」が、提供元で個人を特定できるときにおいて提供元・提供先に新たな義務が課されたことを解説しました。
今回は、もう一つの新概念、「仮名(かめい)加工情報」について、その導入の目的、利用方法、および利用上の留意点について解説したいと思います。

― なぜ「仮名加工情報」という概念が設けられたのか

前回の個人情報保護法の改正(2017年5月施行)では、「匿名加工情報」という概念が新たに設けられました。これは、個人データから個人を特定する情報を削除する匿名加工により、個人情報に当たらないようにする。それにより、個人情報保護法における個人情報取扱事業者の義務の適用を排除し、当初の利用目的外での利用や第三者提供を可能とし、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進するためでした。
「匿名加工情報」は、健康経営に関する研究・分析のために従業員の健康診断情報やストレスチェック情報を匿名加工して利用したり、銀行などでカードローン顧客のWEB行動分析を行うため、又はAIを利用した審査や与信目的で顧客の取引に関するデータを匿名加工して提供したり、提供を受けたりするなど、主にマーケティングに利用されています。
しかし、一方では、多くの企業において、「利用方法が分からない」、「分析するための人材がいない」など、「具体的な匿名加工情報の利活用モデルについて、必ずしも企業が把握できていない」(改正大綱)との指摘がありました。
 事業者の利用実態を見ると氏名の置き換えなどによる「仮名化された個人情報について、一定の安全性を確保しつつ、データとしての有用性を、加工前の個人情報と同等程度に保つことにより、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得るものとして、利活用しようとするニーズが高まっている」こと、EUでも、個人情報の若干緩やかな取扱いを認める「仮名化」が規定されていることなどを踏まえて、経済界からの要望もあり、匿名加工情報と個人情報の中間的な概念として、新しく「仮名加工情報」という概念が設けられたのです。これは、いわゆる統計情報*とも異なります。仮名化された個人情報は、事業者内部でのみ用いられる前提であり、本人特定されずに利用されるため、個人の権利利益が侵害されるリスクが相当低いと考えられたからです。

 *「統計情報」とは、「複数人の情報から、共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向、又は、性質などを数量的に把握するもの」(個人情報保護ガイドライン)です。統計情報は、個人情報にも、匿名加工データにも、仮名加工データにも該当しません。

― 「仮名加工情報」は「匿名加工情報」とどう違うのか

「仮名加工情報」は、個人情報から氏名など本人を特定する事項や個人識別記号を削除するなど、一定の措置を講じて、個人を識別できないように加工して得られる個人に関する情報をいいます。この点で、「匿名加工情報」と同じですが、より簡易な加工が認められる可能性があります。
「匿名加工情報」と大きく異なるのは「匿名加工情報」では、復元して個人を識別することが禁止されますが、「仮名加工情報」は、その情報自体から特定の個人を識別することができない状態にすればよく、他の情報と照合することで特定の個人を識別することができても問題ありません。なお、「仮名加工情報」は事業者の内部でのみ利用することが想定されており、第三者に提供できません。しかし、法令に基づく場合のほか、情報処理の委託やグループ企業との共同利用などは可能です。
また、「仮名加工情報」は、個人の開示・訂正等、利用停止等の請求に対応する必要がありませんから、事業者の内部において、様々な分析に活用できるようになります。なお、「仮名加工情報」の基となった個人情報は、同意を得れば、第三者提供できます。

― 仮名加工情報取扱事業者の義務

仮名加工情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、その削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければなりません。
 保有する加工情報データベースにつき、利用目的の公表は必要ですが、利用目的の柔軟な変更が認められ、利用目的の通知義務がなく、公表でよいことが認められています。
しかし、「仮名加工情報」を作成した事業者は、その作成に用いられた基データ(個人データ)をも保有していることが想定されます。基データはもちろん、仮名加工情報であっても、個人情報に該当することがありますので、個人情報取扱事業者としての義務を果たさねばなりません。

― 仮名加工情報を活用するにはどのような点に留意すればよいですか

仮名加工情報の場合、他の情報と照合することで特定の個人を識別することにつながる情報を残すことが想定されます。そうすると、通常は、個人情報としての規制が及ぶことになりますが、仮名加工をしていることを理由に仮名加工情報については一部の規制が緩和されています。例えば、仮名加工情報は、法15条2項の目的変更に関する規定が適用対象外となっているため、収集時の狭い利用目的にもかかわらず、仮名加工後の変更後の利用目的を公表することで変更後の範囲内で、収集済みの個人データを利用できます。
したがって、事業者は、収集した個人情報を「個人情報データベース等」として、収集時の利用目的の範囲内で、利活用する一方、仮名化した「仮名加工情報データベース等」を当初の利用目的に拘束されることなく、自社における顧客の購買情報や行動履歴などをはじめ、匿名加工情報では、保有できない住所や電話番号、メールアドレスなど具体的な情報も残せる(ただし、電話やメール、DMなどでの利用禁止)ことから、AIの学習・分析をより緻密に行うために有効で、ビッグデータとしての分析・利用がより深く可能になります。その利用状況等も、改正された個人情報保護法における開示請求等の対象にならず、レピュテーショナルリスクを避けることもできると考えられます。
なお、仮名加工情報の処理の委託を受けた委託先にとっては、仮名加工情報は個人情報に該当しないことから、通常は個人情報の場合の委託元としての監督責任はないことになります。しかし、その場合であっても、仮名加工情報の安全管理義務、従業者や委託先の監督義務、苦情処理などの規制が及ぶほか、データの消去の努力義務、第三者提供の禁止、連絡先データのメールや文書等の連絡手段に使用ができないなどの規制が設けられています。
実務においては、個人情報データベース等の個人データと仮名加工情報が併存することから、これらを明確に区分し、その安全管理を行うとともに、個人情報と利用目的の範囲が異なること、第三者提供が禁止されていること、他の情報と照合して個人を特定できる状態では個人情報となることなどにより取扱が異なることを、従業員にきちんと認識させて取り扱うよう十分に、指導や教育に留意する必要があります。

本内容の引用・転載を禁止します。

第3回:個人情報保護法の対象となる情報の拡大

今回から、国会に提出されている個人情報保護法の改正内容をご紹介しながら、主に金融関連サービスの実務への影響について解説していきます。

最初に、個人情報保護法の「保有個人データ」の範囲が見直しされ、個人情報に関連して新たな概念が2つ定められましたので、これを解説します。

―「保有個人データ」の範囲の見直し

個人情報保護法(以下「法」という)では、本人を特定する情報である「個人情報」を定義し、利用目的の特定・変更・利用の制限を設け、取得に際しての利用目的の通知又は公表などの義務を定めています。さらに、個人情報をデータ化・体系化し、検索可能な体系に構成された「個人情報データベース等」となると、大量の個人データの取り扱いが想定されることから、内容の正確性の確保、安全管理措置、これを取り扱う従業者・委託先の管理、外国にある第三者への提供の制限、第三者提供に係る記録の作成・記録、第三者提供を受ける際の確認等の義務が追加されます。

個人を相手にする事業者は、これらの個人データを業務に利用し、取引に応じて内容を更新・修正・削除したり、外部に提供したりしますが、このような個人データは、「保有個人データ」として、情報保有や利用目的などの公表を行うとともに、保有個人データの開示請求対応、訂正・削除、利用停止等の請求に応じるべき義務が定められています。  今回の法改正案では、今まで「保有個人データ」に該当しなかった「6カ月以内に消去することとなる個人情報」が「保有個人データ」に含まれることとなりました。短期間しか保有しない個人データであってもその間に漏洩するリスクがあり、そうなれば、個人の権利利益を侵害する可能性が高いとされ、適切に利用されているかチェックできるように開示等の権利を認めることとしたのです。

―短期保有データの「保有個人データ」化に伴う影響

法が成立し施行された後は、6カ月以内に廃棄する予定の個人データも「保有個人データ」として扱うことになります。今まで、顧客へのアンケートにより取得した情報をデータ化したり、キャンペーン・懸賞などに応募された方の情報を名前順に整理するなどデータ化したりしても、短期間の限定された目的での利用であれば開示などの対象である「保有個人データ」ではありませんでした。したがって、社内規定でも保有個人データとしての取り扱いから免除されていたと考えられますが、見直しが必要です。

 6カ月以内に廃棄する予定の個人データの例として他にも、企業の採用サイトに登録した就活生の情報、問合せに対応する電話対応の通話記録やチャットのデータ、ATMの監視カメラの画像データなどがあります。これらのデータについて、開示対応をする手続や運用を新たに検討する必要がありますが、中には開示することで業務上の支障がある情報も考えられることから、非開示の例外規定を設けることが必要です。

なお、アンケートやキャンペーンを行う際に、例えば、希望に合致する分野の金融商品の案内に用いるなど、利用目的を明記して個人情報を収集し、保有個人データとして管理するということも考えられます。

―「仮名加工情報」と「個人関連情報」の概念が追加

 今回の改正では、「個人情報」に該当するものと「匿名加工情報」の中間的な概念として新たに、「仮名(かめい)加工情報」という概念が追加されました。さらに、個人情報ではないユーザーデータについてその利用実態に着目して、「個人関連情報」という新しい概念も設けられています。

【今回改正後の個人に関する情報の整理】

  定義
個人情報 生存する個人に関する情報であって➀②のいずれかに該当するもの ➀氏名、生年月日その他の記述等により特定の個人を識別することができるもの ②個人識別符号が含まれるもの
仮名加工情報 個人情報の区分に応じて➀②に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報 ➀当該個人情報に含まれる氏名等の本人を特定する記述等の一部を削除する。 ②個人識別記号の全部を削除する。
匿名加工情報 個人情報の区分に応じて➀②に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの ➀当該個人情報に含まれる氏名等の本人を特定する記述等の一部を削除する。 ②個人識別記号の全部を削除する。
個人関連情報 生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの

―なぜ「個人関連情報」にも規制が及ぶのか

法案の定義では、「個人関連情報」がどんなものかピンときませんが、一言でいえば、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」のことです。

 例えば、インターネットのWebブラウザに記録されるCookieやIPアドレス等に個人に関する情報を紐付けて提供する方法では、CookieやIPアドレスは個人識別符号には該当しないため、提供元においては個人情報に該当しません(「提供元基準」)。したがって、この情報を第三者に提供しても「個人データの第三者提供の制限」の規律が該当しません。しかし、提供を受けた事業者側でCookieやIPアドレスと他の情報を照合することにより個人を特定できるとすれば個人情報になります。これは現行法でもそう解釈されていましたが、このスキームを放置することに「改正大綱」において懸念が示されていました。そこで、提供元基準を基本としつつ、提供元では個人データに該当しないものの、提供先において個人データになる場合(「提供先基準」)について、個人データの第三者提供を制限する規律を適用すべきものとされていました。

 これを受けて改正法案26条の2では、提供元基準では個人情報に該当しない個人関連情報であっても、「第三者が個人データとして個人関連情報を取得することが想定されるとき」は、仮名加工情報取扱者は、提供先で本人の同意を得ていることを確認し、確認記録を作成し保存することが義務づけられました。

―個人関連情報の規制により留意するべきポイントあるか

 個人関連情報の規制の経緯から、対象は、Cookie、IPアドレスなどの端末識別子を利用する場合の規制だけのように見えますが、顧客番号、契約者・端末固有IDなどの識別子情報はもちろん、郵便番号、メールアドレス、性別、職業、趣味、位置情報、閲覧履歴、購買履歴といったインターネットの利用にかかるログ情報などの個人に関する情報で特定の個人が識別できないものがこれに該当すると考えられます。

インターネット上での商品やサービスの提供、データベースの利用に伴う閲覧情報、位置情報、懸賞やアンケートに伴うポイント等の提供に際して収集した情報を蓄積・統合・分析を行うなど、DMP(Data Management Platform)を利用した行動ターゲティング広告を利用する例もあります。DMPの利用に際しては、個人データ利用の委託として扱っていることが多いと思われますが、今後は、CookieやIPアドレス等に紐づいた閲覧履歴や趣味趣向などのデータを個人データとして取得することを認める旨の本人の同意を取得することが必要になります。

なお、「第三者が個人データとして個人関連情報を取得することが想定されるとき」の要件は抽象的で不明確であり、確認する方法も明確ではありませんので、法案制定後に改定される個人情報保護ガイドライン等に注目する必要があります。

本改正は、すでに個人情報保護委員会の勧告・改善が出された事案に関するものであることから、提供事業者になる場合は個人関連情報を個人データとして取得することが想定される提供先企業に対して、現時点でも本人の同意を得られていることを表明保証の対象としたり誓約書の提出を求めたりする方法が考えられます。

仮名加工情報については、次回に解説します。

本内容の引用・転載を禁止します。