Upgrade to Pro — share decks privately, control downloads, hide ads and more …

個人情報ビジネス利活用の実務対応(個情委ガイドライン、Q&Aを踏まえて)20211026

 個人情報ビジネス利活用の実務対応(個情委ガイドライン、Q&Aを踏まえて)20211026

個人情報ビジネス利活用の実務対応 〜個情委ガイドラインや2021年9月10日更新Q&Aを踏まえて〜
https://www.businesslawyers.jp/seminars/116

1.個人情報保護法の整理(改正法と個情委Q&Aを踏まえて)
・令和2年、令和3年改正を簡潔に整理
・個人情報の定義
・容易照合性の問題
2. AIモデル開発における個人データの処理と利活用
・個人データ取扱いの委託
・仮名加工情報の活用
3.プロファイリングビジネスにおける個人データの処理と利活用
・利用目的の特定
・個人関連情報
4.その他、改正法の施行に向けて対応を要する事項

Tweet

More Decks by 杉浦健二 Kenji SUGIURA

Other Decks in Business

Transcript

  1. 弁護士杉浦 健二|[email protected] ▼主な取扱分野 個人情報保護法制を踏まえた個人データの利活 用、デジタルプラットフォーム、SaaS等のオ ンラインビジネスをめぐる法的問題、AI・デー タに関する法律問題を主に取り扱う。 近年はデータビジネスのスキーム構築(個人情 報、著作権の処理など)に携わる機会が増えて いる。

    ▼主な支援企業 AI/ITビジネス、SaaS等のウェブサービス、デ ジタルプラットフォーム(BtoB/CtoC)、SNS、 ゲーム、マスメディア、エンタテインメントな ど東証一部からスタートアップまで storialaw.jp All rights reserved. ▼注力する法分野 IT/AI/データ関連法、オンラインビジネス関連法 (個人情報保護法、著作権法、資金決済法など) ▼略歴 企業勤務を経て2007年弁護士登録。2015年 STORIA法律事務所設立、東京・神戸の2事務所 体制(弁護士9名)。経済産業省デジタルプラット フォーム取引相談窓口業務顧問(2021年4月-) ▼メディア、寄稿等(直近) ・日本経済新聞、NHKニュースウォッチ9 個人情報保護法に関するコメント、取材協力など ・「ツイッターのシステム上生じるトリミングによ る氏名表示権の侵害を認めた事例-リツイート最高裁 判決-」知財管理71巻7号974頁 弁護士法人STORIA https://storialaw.jp STORIA法律事務所東京オフィス パートナー弁護士 2
  2. 本セミナーの主な項目(75分) 3 1.個人情報保護法の整理(改正法と個情委Q&Aを踏まえて) ・令和2年、令和3年改正を簡潔に整理 ・個人情報の定義 ・容易照合性の問題 2. AIモデル開発における個人データの処理と利活用 ・個人データ取扱いの委託 ・仮名加工情報の活用

    3.プロファイリングビジネスにおける個人データの処理と利活用 ・利用目的の特定 ・個人関連情報 4.その他、改正法の施行に向けて対応を要する事項 ※本資料を構成する各情報は、本セミナー開催時において把握する情報であり、 その最新性を保証するものではありません。
  3. © STORIA 本セミナー資料内における参照資料 法 令和2年改正個人情報保護法 GL 個人情報の保護に関する法律についてのガイドライン(通則編) 令和3年8月2日一部改正 Q&A 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

    令和3年9月10日更新 R3パブコメ 「個人情報の保護に関する法律についてのガイドライン(通則編、外国に ある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情 報編)の一部を改正する告示」等に関する意見募集の結果について 【別紙2-1】意見募集結果 (2021年8月2日付) 事務局レポート 個人情報保護委員会事務局レポート:匿名加工情報パーソナルデータの利 活用促進と消費者の信頼性確保の両立に向けて 個人情報保護委員会事務局(2017年2月) 10
  4. 個人情報の定義 storialaw.jp All rights reserved. 個人情報(法2条1項) 生存する個人に関する情報であって、 (1) 氏名、生年月日その他の記述等により特 定の個人を識別することができるもの

    (他の情報と容易に照合することができ、 それにより特定の個人を 識別することがで きることとなるものも含む) (2) 個人識別符号が含まれるもの ①取得・利用に関するルール ・利用目的の特定(15) ・利用目的の制限(16) ・適正取得(17) ・取得時の利用目的通知(18) 12 個人データ(法2条6項) 個人情報データベース等(※)を構成する個 人情報 (※)電子媒体・紙媒体を問わず、特定の個 人情報を検索することができるように体系的 に構成したもの(例:名簿、連絡帳) 保有個人データ(法2条7項) 個人データのうち開示、訂正、削除等 の権限を有するもの PPC「個人情報保護を巡る国内外の動向」(平成31年3月20日) をもとに作成 https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ②保管に関するルール ・正確性の確保(19) ・安全管理措置(20) ・従業者の監督(21) ・委託先の監督(22) ③提供に関するルール ・第三者提供の制限(23) ③開示等の定めに関するルール ・保有個人データに関する事項の公表(27) ・開示・訂正等・利用停止等(28・29・30) ・理由の説明(31) ・開示等の求めに応じる手続き(32)
  5. © STORIA 個人情報の定義 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記 録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい

    う。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除 く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。) 二 個人識別符号が含まれるもの 生存する個人に関する情報であり、かつ、 1号 特定の個人を識別できるもの 2号 個人識別符号が含まれるもの ※公開された情報であるかどうかは問わない 13
  6. © STORIA 個人情報の定義(2号・個人識別符号) 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記 録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい

    う。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除 く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。) 二 個人識別符号が含まれるもの(施行令1条、施行規則2条~4条) 例)顔認証データ、指紋認証データ、パスポート、運転免許証番号など →「生存する個人に関する情報」の一部に個人識別符号が含まれている場合、 その「生存する個人に関する情報」全体が「個人情報」に該当する 14
  7. © STORIA 個人情報の定義(1号・特定個人を識別できるもの) 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記 録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい

    う。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除 く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。) 二 個人識別符号が含まれるもの 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、 特定の個人を識別することができるもの ②他の情報と容易に照合することができ、 それにより特定の個人を識別することができることとなるもの 15
  8. © STORIA 個人情報の定義(1号・特定個人を識別できるもの) 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別すること ができるもの ②他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるもの 16 甲田乙朗

    19〇〇年×月△日生 性別 出身地 ネット閲覧履歴 趣味 日記、メモ 生存する個人に関する情報であって 当該情報に含まれる氏名、 生年月日その他の記述等により、 特定の個人を識別することができ るもの ⇒「氏名、生年月日その他の記述」 部分のみではなく「生存する個人に 関する情報」全体が個人情報になる
  9. © STORIA 個人情報の定義(1号・特定個人を識別できるもの) 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別すること ができるもの ②他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるもの (GL1-1、R3パブコメNo316、事務局レポートP15) 「特定の個人を識別することができる」とは、

    社会通念上、一般人の判断力や理解力をもって、 生存する具体的な人物と情報との間に同一性を認めるに至ること ができることをいいます。 →「特定の個人を識別できる」ためには、 当該情報に氏名が含まれていることや、 氏名が割り出されること(氏名到達性)は必須の要件ではない (例:顔画像) 17
  10. © STORIA 個人情報の定義(1号・特定個人を識別できるもの) パーソナルデータに関する検討会の下に設置された 技術検討ワーキンググループによる報告書(2013/12/10) 個人情報に関するいわゆる個人識別性については、「特定」と「識別」に分けて 議論した。 ここで「特定」とは「ある情報が誰の情報であるかが分かること」である。 一方、「識別」とは「ある情報が誰か一人の情報であることが分かること」(あ る情報が誰の情報であるかが分かるかは別にして、ある人の情報と別の人の情報

    を区別できること)である。 18 「識別特定情報のみが個人情報であり、 識別非特定情報および非識別非特定情 報は個人情報ではない」 (石井夏生利ほか『個人情報保護法コンメン タール』(勁草書房2021)P15) 「個人を識別するのみで特定しない情 報は、個人情報に含まれないことに なった」 (宇賀克也『個人情報保護法の逐条解説[第5 版]』(有斐閣2016)P41) 上記WG報告書P1より引用
  11. © STORIA 個人情報の定義(1号・特定個人を識別できるもの) 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別すること ができるもの ②他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるもの 【容易照合性】 以下の場合、データBは単体で特定個人を識別できる情報であるため、データBは

    全体が個人情報になる。 データAとデータBが、「通常の業務における一般的な方法で照合可能」な場合、 双方のデータベースには容易照合性が認められ、データAも個人情報となる (GL2-1)。 19 顧客ID 00111 甲田乙朗 19〇〇年×月△日生 顧客ID 00111 CookieID 閲覧履歴 データA データB
  12. © STORIA 容易照合性 【事業者内部の容易照合性に関するQ&A1-18】 ①各取扱部門が独自に取得した個人情報を、取扱部門ごとに設置されているデー タベースにそれぞれ別々に保管している場合において ②双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方の データベースを取り扱うことが厳格に禁止されていて ③特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方 のデータベース上の情報を照合することができない状態である場合は

    双方のデータベースについては容易照合性がない Q1-18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベー スにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータ ベースの双方を取り扱うことができないときには、「容易に照合することができ」(法第2条第1項) ないといえますか。 A1-18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベー スにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、 規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をか けることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができ ない状態である場合は、「容易に照合することができ」ない状態であると考えられます。 一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベー ス上の情報を照 合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。 23
  13. © STORIA 容易照合性 事務局レポートによると、容易照合性は ・保有する各情報にアクセスできる者の存否 ・社内規程の整備等 の組織的な体制 ・情報システムのアクセス制御等 の技術的な体制 等を総合的に勘案して判断されるとしている。

    (事務局レポートP14) 「容易照合性」の判断要素としては、 ・保有する各情報にアクセスできる者の存否、社内規程の整備等の組織的な体制、 ・情報システムのアクセス制御等の技術的な体制等が挙げられ、 これらを総合的に勘案して「特定の個人を識別することができる」か否かが判断されるもの であり、取り扱う個人情報の内容や利活用の方法等、事業者の実態に即して個々の事例ごと に判断されることとなる※。 ※ 瓜生和久編 『一問一答 平成 27 年改正個人情報保護法』 (商事法務、2015 年) P13(Q8) 24
  14. © STORIA 容易照合性 (私見) QA1-18や事務局レポートに鑑みると、 同一事業者内において個人情報と非個人情報を取り扱う場合、 (組織的措置) ・取り扱う部署が別 ・社内規程上も双方のDBにアクセスすることが厳格に禁止 (技術的措置)

    ・各部署が独自に取得している(一方がもう一方のDBに転送等をしていない) ・アクセス制御(同一人による各DBへのアクセス不可) といった措置がなされているのであれば、個別の事案によるが、 各部署が管理するDBにおいて共通の識別子を保有している場合であっても、 ただちに容易照合性が認められることにならないケースもあり得るのではないか。 (理由)各部署で独自に取得されており、厳格な分別管理+アクセス制御がなされ ているのであれば、各DB間で共通の識別子が存在したとしても「通常の業務にお ける一般的な方法で照合可能」(GL2-1)とはいえないケースは考えられる。 ただし、複数の非個人情報を継続的に取得することで特定の個人が識別されるケー スがある点には留意する必要がある(cf Suica事案)。 28
  15. © STORIA (前提)利用目的の特定 【前提・A社の利用目的】 A社が、自社が保有する顧客データ(個人情報)を AIモデル開発のための学習用データとして用いる場合、 このような利用目的をあらかじめ通知又は公表しておく必要があるか? ⇒令和2年改正で新設される仮名加工情報では、利用目的の変更制限が適用されな いところ(法15条2項)、下記『一問一答』では、仮名加工情報の活用例として 「機械学習モデルの学習用データセットとして用いるケース」が挙げられている。

    「一問一答 令和2年改正個人情報保護法」(佐脇紀代志編著・2020年11月)P16 例えば、以下のようなケースが、仮名加工情報の利活用として想定されます。 ①当初の利用目的には該当しない場合や、該当するか判断が難しい新たな目的での内部分 析を行うケース(データセット中の特異な値が重要とされる、医療・制約分野における研 究用データセットとして用いるケースや、不正検知等の機械学習モデルの学習用データ セットとして用いるケース等) 『一問一答』を反対解釈すれば、 「個人情報を、機械学習モデルの学習用データとして用いる」との利用目的は、 個人情報取得時に公表等していた利用目的の記載から読み取れる必要があると捉 えておくのが無難。 32
  16. © STORIA (前提)利用目的の特定 (A社利用目的の記載例) 「本サービス内における利用履歴等の情報を分析して、お客様に応じたサービスのご提案 を行うため(本サービスの機能追加、改善または当社が提供する新たなサービスの開発を 行う場合を含みます。)」 (Q&A2-1) 利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で 利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような

    事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程 度に、利用目的を特定することをいいます。このため、特定される利用目的は、具体的で本人にとって 分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、 一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。 (A社の利用目的に上記のような記載がない場合) ・現在の利用目的と「関連性を有すると合理的に認められる範囲」の場合 →利用目的に追記(変更)して公表する(法15条2項、法18条3項) ・現在の利用目的と「関連性を有すると合理的に認められる範囲」でない場合 ①本人同意を取得する(法16条1項) ②匿名加工情報に加工する ③仮名加工情報に加工する →後述 33
  17. © STORIA 個人データ取扱いの委託 法23条5項 次に掲げる場合において、当該個人データの提供を受ける者は、 前各項の規定の適用については、第三者に該当しないものとする。 (1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において 個人データの取扱いの全部又は一部を委託することに伴って 当該個人データが提供される場合

    ①個人情報取扱事業者が ②利用目的の達成に必要な範囲内において ③個人データの取扱いの全部又は一部を委託することに伴って ④当該個人データが提供される場合 は「第三者」に該当しない ⇒本人からの同意取得やオプトアウト手続を経ることなく、 個人データの提供が可能 34
  18. © STORIA 個人データ取扱いの委託 37 【事例①の検討】 (1)A社からX社に対するA社顧客データの提供は、個人データ取扱いの委託にあたるか? A社-X社 A社の顧客データを学習用データとするAIモデル開発委託契約を締結。 ※A社利用目的は特定されていることを前提とする(QA2-1) 当該開発委託契約に基づいて、A社の顧客データ(個人データ)の取扱いをX社に委託し

    ている →X社への提供は、個情法上適法な「個人データの取扱いの委託」になると考えられる (2)X社が完成したAIモデルを、X社が第三者に販売することは 「個人データの第三者提供」にあたらないか? ★完成したAIモデル(学習済みモデル)のパラメータ(重み係数)は、特定個人との対 応関係が排斥されている限り、「個人情報」に該当しない(QA1-8) ★Q&AではNG例として「個人データを委託の内容と関係のない自社の営業活動等のた めに利用する場合」が挙げられているが(QA7-37)、本事例では、個人データはあく まで「委託業務であるAIモデル開発のため」に用いられている →A社との開発委託契約に反しない限り(例:AIモデルの知的財産権がX社に帰属、X 社がAIモデルを第三者に販売することを許諾する旨の条項がある等)、X社がAIモデル を第三者に販売することは「個人データの第三者提供」にあたらず、法23条1項に抵触 しないと解する
  19. © STORIA 個人データ取扱いの委託 40 【派生事例】 ②X社が開発委託契約前からAIモデルを保有している場合に、A社が保有するA社顧客デー タを、当該AIモデルに追加学習させてパラメータを更新させることはできるか? →〇と解する。 →「追加学習」とは、 既存の学習済みモデルに、異なる学習用データセットを適用して、

    更なる学習を行うことで、新たに学習済みパラメータを生成することをいう(AIデータ契約 ガイドラインP265) →A社が保有する顧客データを、X社が保有するAIモデルの追加学習用データとして提供す ることで、X社の保有するAIモデルのパラメータを更新し、精度が向上したAIモデルについ てX社から利用許諾を受ける内容の開発委託契約(X社保有モデルに追加学習させて精度向 上させたモデルをA社が利用する内容の契約)を締結していた場合であれば、事例①と同様 の理由で、「委託」に基づいて、個情法上適法に利用可能と解する (AIモデルにゼロから学習させるか、学習済みのAIモデルに追加学習をさせるかの違いに すぎない。完成したAIモデルは個人データにあたらない点で、事例②と事例①と同様。)
  20. © STORIA 個人データ取扱いの委託 41 【派生事例】 ③X社が開発委託契約前から学習用データセットを保有している場合に、 当該学習用データセットに、 A社が保有するA社顧客データを追加してデータ数を増やした データセットを、新たな学習用データセットとしたAIモデル開発を行うことはできるか? ⇒X社の既存データセットと、A社顧客データを本人ごとに突合して、

    データ項目を増やした(リッチ化した)学習用データセットを作成する行為は、 R3パブコメ通則編351、 QA7-43に抵触する可能性が高い。 R3パブコメ(通則編)351 一般に、個人データの取扱いの委託(法第 23条第5項第1号)において、委託先は、委託に伴って委託元から提供され た個人データを、独自に取得した個人データと本人ごとに突合する処理を行うことはできません。 提供先においてかかる処理が行われる場合、提供元は、原則として、個人データの第三者提供について本人の同意を取得 する必要があります。
  21. © STORIA 個人データ取扱いの委託 42 QA7-43 Q7-43 A 社及び B 社から統計情報の作成の委託を受ける場合に、以下の取扱いをすることはできますか。

    ①A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、こ れを A 社及び B 社に提供すること ②A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作 成し、これを A 社及び B社に提供すること A7-43 ①個人データの取扱いの委託(法第 23 条第5項第1号)において、複数の委託を受ける委託先は、各委託 元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。 したがって、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人 ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。 外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごと に突合して統計情報を作成する場合には、A 社及び B 社においてそれぞれに対する第三者提供に関する本人の同意を 取得する等の対応を行う必要があります。 ②A 社から委託に伴って提供を受けた個人データとB 社から委託に伴って提供を受けた個人データを本人ごとに突合 していないため、委託先において A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データをサンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成することができます。 (令和3年9月追加) →委託先において、本人同士のデータ突合は、委託元の承諾があっても許されない →本人ごとに突合しなければ問題ないのか?
  22. © STORIA 個人データ取扱いの委託 43 QA7-37では、以下がNG例(委託された業務以外に個人データを取扱う事例)として挙げられている 事例2)複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、 各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合 (平成 30 年

    12 月追加) ⇒委託先において、本人ごとに突合しないが、 委託元が判別できない態様で(両者を識別するためのID等を振らない等) ひとつのデータセットに統合して、学習用データセットとして用いる行為 ⇒「区別せずに混ぜて取り扱っている場合」(QA7-37)にあたりNGと考えられる。 ⇒では委託先において、本人ごとに突合せず、かつ、データの提供元が明確となる態様で、 ひとつのデータセットに統合して、学習用データセットとして用いる行為 → QA7-37「区別せずに混ぜて取り扱っている場合」にあたるといえるのか? (私見)データの出所(委託元)が明確になる態様(委託元を識別するためのID等を振る 等)でひとつのデータセットに統合し、学習用データセットとして用いるのであれば、なお 「個人データを区別して混ぜずに取り扱っている」と解し得るのではないか。 (理由)別々の委託元から提供を受けた個人データを「サンプルとなるデータ数を増やす目 的で合わせて1つの統計情報を作成すること」はQ&A7-43で明確に認められたところ、こ の統計情報作成は、各個人データを同一のデータセットに統合することが前提と考えられる。 識別用ID等で各委託元が明確であれば「区別せずに混ぜて取り扱っている」に該当しない と整理できなければ、 Q&A7-43で認められた統計情報作成行為もできないはず。
  23. © STORIA 個人データ取扱いの委託 44 【派生事例】 ④A社はX社との間で、AIモデル開発ではなく、X社が提供するSaaSサービス(顧客向け マーケティング最適化サービス)の利用に関する契約を締結。 X社は、当該SaaSサービス提供のために用いているAIモデルの分析技術の改善のために、A 社が入力した顧客データを用いることができるか。 →委託契約の内容に反せず、かつ、委託元の利用目的の達成に必要な範囲内であれば、委託

    業務を処理するための一環として、自社の分析技術の改善のために、委託元から提供を受け た個人データを用いることは可能と考えられる(QA7-39) Q7-39 委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自 社の分析技術の改善のために利用することはできますか。 A7-39 個別の事例ごとに判断することになりますが、委託先は、委託元の利用目的の達成に必要な 範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用 することができます。(令和3年9月追加) →「委託業務と無関係のサービス」の分析技術改善のために利用することはNG →A社(委託元)における利用目的の縛りはある点に注意 ★なお、委託元と顧客間におけるNDAや、法律上の守秘義務との関係は別途問題になる
  24. © STORIA (再掲)利用目的の特定 (A社利用目的の記載例) 「本サービス内における利用履歴等の情報を分析して、お客様に応じたサービスのご提案 を行うため(本サービスの機能追加、改善または当社が提供する新たなサービスの開発を 行う場合を含みます。)」 (Q&A2-1) 利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で 利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような

    事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程 度に、利用目的を特定することをいいます。このため、特定される利用目的は、具体的で本人にとって 分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、 一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。 (A社の利用目的に上記のような記載がない場合) ・現在の利用目的と「関連性を有すると合理的に認められる範囲」の場合 →利用目的に追記(変更)して公表する(法15条2項、法18条3項) ・現在の利用目的と「関連性を有すると合理的に認められる範囲」でない場合 ①本人同意を取得する(法16条1項) ②匿名加工情報に加工する ③仮名加工情報に加工する →後述 47
  25. © STORIA 仮名加工情報 【個人情報から仮名加工情報を作成したうえで、利用目的を変更する流れ】 まず現在保有する個人情報の一部を削除する等の加工をして、仮名加工情報を作 成する。(個人情報である仮名加工情報を作成。法35の2第1項、規則18の7) ↓ 作成した仮名加工情報については、作成の元になった個人情報に関して特定され ていた利用目的(法15条1項)が引き継がれる。(Q14-14・Q14-15) ↓

    仮名加工情報については、利用目的の変更制限に関する法15条2項が適用されな いため、変更前の利用目的と「関連性を有すると合理的に認められる範囲」を超 えた利用目的の変更が可能。(法35の2第9項、法15条2項) ↓ 仮名加工情報の利用目的を変更した後は、変更後の利用目的を公表する必要があ る。(法35条の2第4項により読み替える法18条3項4項。GL仮匿P15) ↓ 変更後の利用目的を公表する際は、 その利用目的が仮名加工情報に関するものであることを明確にする必要がある。 (Q14-15) 50
  26. © STORIA 仮名加工情報 ※仮名加工情報には、 「個人情報である仮名加工情報」(法35条の2)と 「個人情報でない仮名加工情報」(法35条の3)の2種類があり、 それぞれ別の規制が置かれている 「個人情報である仮名加工情報」 (例)作成の元となった個人情報や、削除情報等(元の個人情報から削除された 記述や加工方法など)を保有しており、当該仮名加工情報との間で容易照合性が

    認められる場合など(GL仮匿P6) →法35条の2の各義務が生じる(第三者提供の原則禁止、安全管理措置、委託 先の監督、識別行為の禁止など) ※同一事業者内で、個人情報を加工して仮名加工情報を作成し、作成の元と なった個人情報や削除情報等を保有している場合、当該仮名加工情報は 「個人情報である仮名加工情報」にあたる(R3匿パブコメ5,9) 52
  27. © STORIA 仮名加工情報 「個人情報でない仮名加工情報」 (例)委託、事業承継、共同利用等により仮名加工情報が提供された場合におい て、提供先において、作成の元となった個人情報や削除情報等を保有しておらず、 当該仮名加工情報との間で容易照合性が認められない場合 (例)仮名加工情報を作成した事業者が、仮名加工情報作成後に、作成の元と なった個人情報や、削除情報等を削除したことによって、当該事業者において容 易照合性がなくなった場合(R3パブコメ15)

    →法35条の3の各義務が生じる(第三者提供の原則禁止、安全管理措置、委託 先の監督、識別行為の禁止など)。個人情報でない仮名加工情報≠非個人情報。 ⇔仮名加工情報を作成する意図を有することなく、個人情報を加工して作成の元 となった個人情報を削除した場合は、加工後の情報は非個人情報になり得る(規 則政令パブコメ501①②) 「法第35条の2第1項の「作成するとき」とは、仮名加工情報として取り扱うために当該 仮名加工情報を作成するときのことをいいます。」 (規則政令パブコメ501、475、496、500④等) 53
  28. © STORIA 仮名加工情報 【仮名加工情報である個人データの、共同利用に基づく提供】 仮名加工情報を共同利用に基づいて提供する場合、 以下の情報をあらかじめ公表する必要がある (1)共同利用する旨 (2)共同して利用される仮名加工情報である個人データの項目 (3)共同して利用する者の範囲 (4)利用する者の利用目的

    (5)当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称、 住所、法人の場合は代表者氏名 →仮名加工情報は利用目的の変更制限に関する法15条2項が適用されないので、 (3)利用する者の範囲や(4)利用目的等は、作成の元となった個人情報の取得時点で 公表等されていた利用目的の内容や取得の経緯にかかわらず、設定可能である(GL仮匿 P18)。 ⇒この場合、新たに設定した(3)利用する者の範囲や(4)利用目的等を公表したうえ で、仮名加工情報の共同利用を行うことになる(GL仮匿P20)。 56
  29. © STORIA 仮名加工情報 【仮名加工情報である個人データの、委託に基づく提供】 【論点】委託に伴って提供された個人データである仮名加工情報を、委託業務を 処理するための一環として、委託先が自社の分析技術の改善のために利用するこ とは可能か? →(私見)個情委の見解では明確でないが、通常の個人データの委託の場合です ら可能と整理された以上(Q&A7-39)、委託先は、委託元の利用目的の達成に必 要な範囲内である限りにおいて、仮名加工情報である個人データを、自社の分析

    技術の改善のために利用することは可能と考える。 ⇒委託元の「個人情報の利用目的」に縛られない利活用の手法が増えた(匿名加 工情報よりも詳細なデータの利活用を、匿名加工情報よりも簡便な方法で行うこ とができる。ただし利用目的の公表は要) (参考)仮名加工情報である個人データを、委託や共同利用に基づいて提供する 場合、法24条(外国にある第三者への提供制限)は適用されない。 政令規則パブコメ479 法第23条第5項各号に基づく場合及び改正後の法第35条の3第2項により読み替えて準用 される法第23条第5項各号に基づく場合には、仮名加工情報を外国にある第三者に提供す ることが可能です。この場合、改正後の法第 24 条の適用はありません…。 57
  30. © STORIA 仮名加工情報 【仮名加工情報を作成して、同じ事業者内の別部門に提供した場合】 取扱部門Aが保有する個人情報を加工して仮名加工情報を作成し、同じ事業者内の取扱部門 Bに当該仮名加工情報を提供した。 なお、双方の取扱部門やこれらを統括すべき立場の者等は、規程上・運用上、双方のデー タベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、 通常の業務における一般的な方法で双方のデータベース上の情報を照合することができな い状態にある。

    この場合、事業部Bは、当該仮名加工情報を「個人情報でない仮名加工情報」として取り扱 うことはできるか。 →同じ事業者内において、仮名加工情報を作成し、別部門に提供する場合、 別部門でも「個人情報である仮名加工情報」として取り扱う必要がある。 R3パブコメ匿9、匿5 一般論として、仮名加工情報を作成した事業者において、当該仮名加工情報の作成の元となった個人情 報や当該仮名加工情報に係る削除情報等を保有している場合には、通常、当該仮名加工情報は、当該事 業者が保有する「他の情報を容易に照合でき、それにより特定の個人を識別することができる」状態に あると考えられますので、「個人情報」に該当すると考えられます。 59
  31. © STORIA 匿名加工情報 GL仮匿P41、R3パブコメ76、73、80 「氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表」 「氏名等の仮IDへの置き換えに用いた置き換えアルゴリズムと乱数等のパラメータ」は、 匿名加工情報と容易照合性があるため、匿名加工情報の作成後は要破棄と変更された。 旧(現行)Q&A Q11-10 匿名加工情報を作成するときには、氏名と仮

    ID 等の対応表を破棄しないといけませんか。 A11-10 氏名と仮 ID 等の対応表は加工方法等情報に該当すると考えられます。したがって、当該対応表の破棄ま では求められませんが、加工方法等情報として施行規則第 20 条 各号の基準に従って安全管理措置を講ずる必要があ ります。また、匿名加工情報の作成に 用いられた個人情報に係る本人を識別するために、他の情報と照合してはなら ないとされていることから、当該目的で対応表を利用することはできませんが、匿名加工情報の安全性の検証作業な どで利用することもあり得ると考えられます。 ↓新Q&Aでは以下に変更された(事務局レポートP13の見解も変更されたことになる) Q15-14 匿名加工情報を作成する過程において氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、 匿名加工情報の作成後は破棄する必要がありますか。また、氏名等の仮 ID への置き換えに用いた置き換えアルゴリ ズムに用いられる乱数等のパラメータについてはどうですか。 A15-14 匿名加工情報の作成の過程において、氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、 匿名加工情報と容易に照合することができ、それにより匿名加 工情報の作成の元となった個人情報の本人を識別する ことができるものであることから、 匿名加工情報の作成後は破棄する必要があります。 また、匿名加工情報を作成 した個人情報取扱事業者が、氏名等を仮 ID に置き換えるために用いた置き換えアルゴリズムと乱数等のパラメータ の組み合わせを保有している場合には、当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置 き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加 工情報の作成の元となった個人情報の本人を識別することが できることから、匿名加工情報の作成後は、当該パラ メータを破棄する必要があります。(令和3年9月更新) 61
  32. プロファイリングとは ▼プロファイリングに関するガイドライン等(一部) プロファイリング全般 ・パーソナルデータ+α研究会 「プロファイリングに関する提言案」(2018年12月19日・NBL1137号) ・総務省AIネットワーク社会推進会議 「AI利活用ガイドライン」(2019年8月) 人事関連 ・一般社団法人ピープルアナリティクス&HRテクノロジー協会 「人事データ利活用原則」(2020年3

    月19 日) ・リクルートワークス研究所 「人事のAI原則」(2019年10月) 信用スコア関連 ・内閣官房 情報通信技術(IT)総合戦略室/シェアリングエコノミー促進室 「シェアリングエコノミー検討会議 第2次報告書」 「シェアリングエコノミー・モデルガイドライン」(2019年5月) 金融関連 ・「金融分野における個人情報保護に関するガイドライン」(個情委・金融庁2017) 要配慮個人情報よりも広い「機微(センシティブ)情報」について、原則として 取得・利用・第三者提供を禁止 放送関連 ・「放送受信者等の個人情報保護に関するガイドライン」(総務省2017) 視聴履歴を取り扱うにあたっては、要配慮個人情報を推知し、または第三者に推知さ せないよう注意しなければならない(同ガイドライン34条) 68
  33. プロファイリングとは ▼プロファイリングとの関係で問題となりうる個情法の規制 ・利用目的の特定(15 条 1 項)→GL、Q&Aで特定例がより厳格化 ・個人データの第三者提供制限(23 条 1 項)

    ・本人の人種、信条、社会的身分等の要配慮個人情報の取得は、要本人同意(17条2項) ・要配慮個人情報についてはオプトアウトによる第三者提供不可(23条2項) ・保有個人データの利用停止・消去等の請求の要件を緩和(法30条) ・違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならな い旨が明確化された(法16条の2) ・個人関連情報に関する規制(法26条の2) ・第三者提供記録の開示請求が追加(法28条5項) 69
  34. © STORIA 利用目的の特定 GLP28-P29 利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個 人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのよう な目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度 に具体的に特定することが望ましい。 本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に 予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したこと

    にはならない。 【利用目的を特定している事例】 ・取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービ スに関する広告のために利用いたします。 ・取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者 へ提供いたします。 【利用目的を特定していない事例】 ・事業活動に用いるため ・マーケティング活動に用いるため 71
  35. © STORIA 個人関連情報 個人関連情報とは 「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情 報のいずれにも該当しないもの」をいう(法26条の2)。 個人関連情報に該当する例: Cookie等の端末識別子を通じて収集されたウェブサイトの閲覧履歴 年齢・性別・家族構成等 位置情報

    など ※いずれも特定の個人を識別することができないものに限られる 個人関連情報取扱事業者は、 提供先が個人関連情報を個人データとして取得することが想定されるときは、 あらかじめ当該個人関連情報に係る本人の同意等が得られていることを 確認しないで、当該個人関連情報を提供してはならない。 73
  36. © STORIA 個人関連情報 提供元における確認義務を回避するための方策として、 契約書や誓約書等で「提供先は、提供を受けた個人関連情報を個人データとして 利用しない」旨を定めておく方針は考えられる GL3-7-2-3 契約等による対応について 提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において、提供先の第三者において、 提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常、「個人

    データとして取得する」ことが想定されず、法第26条の2は適用されない。 この場合、提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いの確認 まで行わなくとも、通常、「個人データとして取得する」ことが想定されない。 もっとも、提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情が ある場合には、当該事情に応じ、別途、提供先の第三者における個人関連情報の取扱いも確認した上で 「個人データとして取得する」ことが想定されるかどうか判断する必要がある。 QA8-6 「提供を受けた個人関連情報を個人データとして利用しない旨の誓約書を提出した場合には、通常、提 供先の第三者は当該誓約に従って個人関連情報を取り扱うものと考えられるため、原則として、「個人 データとして取得する」ことは想定されず、法第26条の2第1項は適用されないと考えられます。」 76
  37. © STORIA 個人関連情報 本人の同意、取得主体 本人の同意とは、 「個人関連情報取扱事業者が第三者に個人関連情報を提供し、 当該第三者が当該個人関連情報を個人データとして取得することを承諾する旨の 当該本人の意思表示」をいう(GL3-7-3-1) 同意の取得主体は原則として提供先だが、提供元における代行取得も可能。 ①提供先における取得の場合

    ・対象となる個人関連情報を特定できるように示す必要がある ・同意を取得する際に同時に利用目的についても示すことが望ましい ・提供元である個人関連情報取扱事業者の範囲や属性を示すことは望ましい(R3パブコメ 389) ②提供元における代行取得の場合 ・本人は利用の主体を認識できないことから、提供先の第三者を個別に明示し、また、対象 となる個人関連情報を特定できるように示さなければならない ・提供先の第三者は提供元に適切に同意取得させなければならない(同意取得は、あくまで 提供先の義務) 77
  38. © STORIA 個人関連情報 本人の同意、取得方法 GL3-7-3-3 ⇒明示的な方法による同意取得が求められる 同意取得の方法としては、様々な方法があるが、例えば、本人から同意する旨を示した書面 や電子メールを受領する方法、確認欄へのチェックを求める方法がある。ウェブサイト上で 同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足り ず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらな

    ければならない。 ①提供先における同意取得の記載例(A社→B社でB社が同意取得) 「当社は、以下の個人関連情報取扱事業者(※提供元の範囲や属性を示すことは「望まし い」)から、Cookie等の端末識別子を通して収集されたウェブサイト閲覧履歴(※対象とな る個人関連情報の特定を要する)を取得し、当社が保有するお客様の個人データに付加した うえで、当社が、当社サービスに関する広告配信の目的(※利用目的を同時に示すことが 「望ましい」)で利用することに同意するものとします。」 ②提供元における同意代行取得の記載例(A社→B社でA社が同意代行取得) 「当社は、当社サービスにおいてCookie等の端末識別子を通して収集されたウェブサイト閲 覧履歴(※対象となる個人関連情報の特定を要する) (以下「個人関連情報」といいま す。)をB社(※提供先の第三者を個別明示を要する)に提供し、B社はB社が保有するB社 のお客様の個人データに付加したうえで、個人関連情報を広告配信の目的で利用します。B 社のお客様は、B社に対して、B社が個人関連情報を当社から取得することについて同意する ものとします。」 78
  39. © STORIA その他、改正法の施行に向けて実務上対応を要する事項 ・プライバシーポリシー(個人情報保護指針)の改訂 (利用目的特定、保有個人データの公表事項追加(含む安全管理措置※Q10-25) 条文番号変更など) ・外国にある第三者への個人データ提供制限(法24条) ・外国にある第三者への個人関連情報提供制限(法26条の2第1項2号) ・漏えい発生時の個情委への報告・本人への通知義務(法22条の2) ・第三者提供記録の開示義務

    ・オプトアウトの厳格化(再オプトアウト禁止) ・保有個人データの期間要件廃止(6か月以内に消去するものも含まれる)、 保有個人データの開示方法につき本人が指定可能(開示請求のデジタル化)、 利用停止・消去等請求要件の緩和(利用する必要がなくなった場合、重大な漏えい等 が発生した場合、本人の権利又は正当な利益が害されるおそれがある場合にも保有個人 データの利用停止・消去請求が可能に) 80
  40. ご質問は下記まで STORIA法律事務所東京オフィス 弁護士 杉浦 健二 Mail [email protected] URL https://storialaw.jp kenjisugiura01

    各種オンライン相談、チャットツール対応 TEL 03-6711-5160 〒100-0004 東京都千代田区大手町1-6-1大手町ビル6階 (地下鉄大手町駅直結) 81
  41. 82