個人情報ビジネス利活用の実務対応(個情委ガイドライン、Q&Aを踏まえて)20211026

Transcript

1. 個人情報ビジネス利活用の実務対応 ～個情委ガイドライン、個情委Q&Aを踏まえて～ 2021.10.26 STORIA法律事務所 弁護士 杉浦健二

2. © STORIA 個人情報ビジネス利活用の基本方針 ・法令、個情委ガイドライン、業界ガイドラインに適合させる ・適合しているか悩ましいケース（グレーゾーン）の場合は、 かならず事前検討＋外部に説明ができるだけの立論を準備しておく ・過去に問題になった事例を押さえておく（国内、国外） ・世論を読む。ポイントは 「本人にとって不意打ちとならないかどうか」 1

3. 弁護士杉浦 健二｜[email protected] ▼主な取扱分野 個人情報保護法制を踏まえた個人データの利活 用、デジタルプラットフォーム、SaaS等のオ ンラインビジネスをめぐる法的問題、AI・デー タに関する法律問題を主に取り扱う。 近年はデータビジネスのスキーム構築（個人情 報、著作権の処理など）に携わる機会が増えて いる。

   ▼主な支援企業 AI/ITビジネス、SaaS等のウェブサービス、デ ジタルプラットフォーム（BtoB/CtoC）、SNS、 ゲーム、マスメディア、エンタテインメントな ど東証一部からスタートアップまで storialaw.jp All rights reserved. ▼注力する法分野 IT/AI/データ関連法、オンラインビジネス関連法 （個人情報保護法、著作権法、資金決済法など） ▼略歴 企業勤務を経て2007年弁護士登録。2015年 STORIA法律事務所設立、東京・神戸の２事務所 体制（弁護士9名）。経済産業省デジタルプラット フォーム取引相談窓口業務顧問（2021年4月-） ▼メディア、寄稿等（直近） ・日本経済新聞、NHKニュースウォッチ９ 個人情報保護法に関するコメント、取材協力など ・「ツイッターのシステム上生じるトリミングによ る氏名表示権の侵害を認めた事例-リツイート最高裁 判決-」知財管理71巻7号974頁 弁護士法人STORIA https://storialaw.jp STORIA法律事務所東京オフィス パートナー弁護士 2

4. 本セミナーの主な項目（75分） 3 1.個人情報保護法の整理（改正法と個情委Q&Aを踏まえて） ・令和2年、令和3年改正を簡潔に整理 ・個人情報の定義 ・容易照合性の問題 2. AIモデル開発における個人データの処理と利活用 ・個人データ取扱いの委託 ・仮名加工情報の活用

   3.プロファイリングビジネスにおける個人データの処理と利活用 ・利用目的の特定 ・個人関連情報 4.その他、改正法の施行に向けて対応を要する事項 ※本資料を構成する各情報は、本セミナー開催時において把握する情報であり、 その最新性を保証するものではありません。

5. 令和2年・令和3年改正個人情報保護法を簡潔に整理 4

6. © STORIA ▼令和2年改正法の概要 5 PPC令和3年9月14日 「個人情報保護のための 民間の自主的取組の促進について」より

7. © STORIA ▼令和3年改正法の概要 PPC令和3年9月14日 「個人情報保護のための 民間の自主的取組の促進について」より 6

8. © STORIA ▼令和3年改正法の概要 PPC令和3年5月7日 「個人情報保護法 令和２年改正及び令和３年改正案について」より 7

9. © STORIA ▼改正法施行までのスケジュール 8 PPC令和3年9月14日 「個人情報保護のための 民間の自主的取組の促進について」より

10. © STORIA ▼改正法施行までのスケジュール 9 PPC令和3年9月14日 「個人情報保護のための 民間の自主的取組の促進について」より

11. © STORIA 本セミナー資料内における参照資料 法 令和2年改正個人情報保護法 GL 個人情報の保護に関する法律についてのガイドライン（通則編） 令和3年8月2日一部改正 Q&A 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

    令和3年9月10日更新 R3パブコメ 「個人情報の保護に関する法律についてのガイドライン（通則編、外国に ある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情 報編）の一部を改正する告示」等に関する意見募集の結果について 【別紙２－１】意見募集結果 （2021年8月2日付） 事務局レポート 個人情報保護委員会事務局レポート：匿名加工情報パーソナルデータの利 活用促進と消費者の信頼性確保の両立に向けて 個人情報保護委員会事務局（2017年2月） 10

12. 個人情報の定義 11

13. 個人情報の定義 storialaw.jp All rights reserved. 個人情報（法2条1項） 生存する個人に関する情報であって、 (1) 氏名、生年月日その他の記述等により特 定の個人を識別することができるもの

    （他の情報と容易に照合することができ、 それにより特定の個人を 識別することがで きることとなるものも含む） (2) 個人識別符号が含まれるもの ①取得・利用に関するルール ・利用目的の特定(15) ・利用目的の制限(16) ・適正取得(17) ・取得時の利用目的通知(18) 12 個人データ（法2条6項） 個人情報データベース等（※）を構成する個 人情報 （※）電子媒体・紙媒体を問わず、特定の個 人情報を検索することができるように体系的 に構成したもの（例：名簿、連絡帳） 保有個人データ（法2条7項） 個人データのうち開示、訂正、削除等 の権限を有するもの PPC「個人情報保護を巡る国内外の動向」（平成31年３月20日） をもとに作成 https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ②保管に関するルール ・正確性の確保(19) ・安全管理措置(20) ・従業者の監督(21) ・委託先の監督(22) ③提供に関するルール ・第三者提供の制限(23) ③開示等の定めに関するルール ・保有個人データに関する事項の公表(27) ・開示・訂正等・利用停止等(28･29･30) ・理由の説明（31） ・開示等の求めに応じる手続き(32)

14. © STORIA 個人情報の定義 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記 録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい

    う。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除 く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。） 二 個人識別符号が含まれるもの 生存する個人に関する情報であり、かつ、 1号 特定の個人を識別できるもの 2号 個人識別符号が含まれるもの ※公開された情報であるかどうかは問わない 13

15. © STORIA 個人情報の定義（2号・個人識別符号） 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記 録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい

    う。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除 く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。） 二 個人識別符号が含まれるもの（施行令1条、施行規則2条～4条） 例）顔認証データ、指紋認証データ、パスポート、運転免許証番号など →「生存する個人に関する情報」の一部に個人識別符号が含まれている場合、 その「生存する個人に関する情報」全体が「個人情報」に該当する 14

16. © STORIA 個人情報の定義（1号・特定個人を識別できるもの） 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記 録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい

    う。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除 く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。） 二 個人識別符号が含まれるもの 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、 特定の個人を識別することができるもの ②他の情報と容易に照合することができ、 それにより特定の個人を識別することができることとなるもの 15

17. © STORIA 個人情報の定義（1号・特定個人を識別できるもの） 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別すること ができるもの ②他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるもの 16 甲田乙朗

    １９〇〇年×月△日生 性別 出身地 ネット閲覧履歴 趣味 日記、メモ 生存する個人に関する情報であって 当該情報に含まれる氏名、 生年月日その他の記述等により、 特定の個人を識別することができ るもの ⇒「氏名、生年月日その他の記述」 部分のみではなく「生存する個人に 関する情報」全体が個人情報になる

18. © STORIA 個人情報の定義（1号・特定個人を識別できるもの） 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別すること ができるもの ②他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるもの （GL1-1、R3パブコメNo316、事務局レポートP15） 「特定の個人を識別することができる」とは、

    社会通念上、一般人の判断力や理解力をもって、 生存する具体的な人物と情報との間に同一性を認めるに至ること ができることをいいます。 →「特定の個人を識別できる」ためには、 当該情報に氏名が含まれていることや、 氏名が割り出されること（氏名到達性）は必須の要件ではない （例：顔画像） 17

19. © STORIA 個人情報の定義（1号・特定個人を識別できるもの） パーソナルデータに関する検討会の下に設置された 技術検討ワーキンググループによる報告書（2013/12/10） 個人情報に関するいわゆる個人識別性については、「特定」と「識別」に分けて 議論した。 ここで「特定」とは「ある情報が誰の情報であるかが分かること」である。 一方、「識別」とは「ある情報が誰か一人の情報であることが分かること」（あ る情報が誰の情報であるかが分かるかは別にして、ある人の情報と別の人の情報

    を区別できること）である。 18 「識別特定情報のみが個人情報であり、 識別非特定情報および非識別非特定情 報は個人情報ではない」 （石井夏生利ほか『個人情報保護法コンメン タール』(勁草書房2021)P15） 「個人を識別するのみで特定しない情 報は、個人情報に含まれないことに なった」 （宇賀克也『個人情報保護法の逐条解説［第5 版］』（有斐閣2016）P41） 上記WG報告書P1より引用

20. © STORIA 個人情報の定義（1号・特定個人を識別できるもの） 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別すること ができるもの ②他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるもの 【容易照合性】 以下の場合、データBは単体で特定個人を識別できる情報であるため、データBは

    全体が個人情報になる。 データAとデータBが、「通常の業務における一般的な方法で照合可能」な場合、 双方のデータベースには容易照合性が認められ、データAも個人情報となる （GL2-1）。 19 顧客ID 00111 甲田乙朗 19〇〇年×月△日生 顧客ID 00111 CookieID 閲覧履歴 データA データB

21. 容易照合性の問題 20

22. © STORIA 容易照合性 【事例】事業者内の異なる部署間における容易照合性 A社では、会員情報（会員の氏名や住所など）を取り扱う個人情報取扱部門と、 会員情報とは紐づいていない非個人情報（ウェブ閲覧履歴など）を取り扱う非個 人情報取扱部門が分かれており、それぞれが取り扱うデータは各部門が管理する データベース（別々のサーバ）に別々に保管されている。 各DBにアクセスできるのは各部門の担当者のみに制御されており（同じ者が双方 のDBにアクセスできない）、社内規定上も別のDBにアクセスすることは厳格に

    禁止されている。 両部門が管理するDB間に、容易照合性は認められるか。 共通の識別子（IPアドレスなど）が存する場合はどうか。 21 氏名、住所 IPアドレス アクセス日時 CookieID IPアドレス アクセス日時 非個人情報取扱部門 （ウェブ閲覧履歴を保有） 個人情報取扱部門 （会員情報を保有） ？

23. © STORIA 容易照合性 【事業者内部の容易照合性に関するQ＆A1-18】 ①各取扱部門が独自に取得した個人情報を、取扱部門ごとに設置されているデー タベースにそれぞれ別々に保管している場合において ②双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方の データベースを取り扱うことが厳格に禁止されていて ③特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方 のデータベース上の情報を照合することができない状態である場合は

    双方のデータベースについては容易照合性がない Ｑ１－18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベー スにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータ ベースの双方を取り扱うことができないときには、「容易に照合することができ」（法第２条第１項） ないといえますか。 Ａ１－18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベー スにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、 規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をか けることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができ ない状態である場合は、「容易に照合することができ」ない状態であると考えられます。 一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベー ス上の情報を照 合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。 23

24. © STORIA 容易照合性 事務局レポートによると、容易照合性は ・保有する各情報にアクセスできる者の存否 ・社内規程の整備等 の組織的な体制 ・情報システムのアクセス制御等 の技術的な体制 等を総合的に勘案して判断されるとしている。

    （事務局レポートP14） 「容易照合性」の判断要素としては、 ・保有する各情報にアクセスできる者の存否、社内規程の整備等の組織的な体制、 ・情報システムのアクセス制御等の技術的な体制等が挙げられ、 これらを総合的に勘案して「特定の個人を識別することができる」か否かが判断されるもの であり、取り扱う個人情報の内容や利活用の方法等、事業者の実態に即して個々の事例ごと に判断されることとなる※。 ※ 瓜生和久編 『一問一答 平成 27 年改正個人情報保護法』 （商事法務、2015 年） P13（Q8） 24

25. © STORIA 容易照合性 （私見） QA1-18や事務局レポートに鑑みると、 同一事業者内において個人情報と非個人情報を取り扱う場合、 （組織的措置） ・取り扱う部署が別 ・社内規程上も双方のDBにアクセスすることが厳格に禁止 （技術的措置）

    ・各部署が独自に取得している（一方がもう一方のDBに転送等をしていない） ・アクセス制御（同一人による各DBへのアクセス不可） といった措置がなされているのであれば、個別の事案によるが、 各部署が管理するDBにおいて共通の識別子を保有している場合であっても、 ただちに容易照合性が認められることにならないケースもあり得るのではないか。 （理由）各部署で独自に取得されており、厳格な分別管理＋アクセス制御がなされ ているのであれば、各DB間で共通の識別子が存在したとしても「通常の業務にお ける一般的な方法で照合可能」(GL2-1)とはいえないケースは考えられる。 ただし、複数の非個人情報を継続的に取得することで特定の個人が識別されるケー スがある点には留意する必要がある（cf Suica事案）。 28

26. AIモデル開発における個人データの処理と利活用 29

27. 個人データの取扱いの委託 30

28. © STORIA 個人データ取扱いの委託（法23条5項1号） 【事例①】 A社は、A社が保有する顧客データ（A社サービス内における顧客の行動履歴な ど）を学習用データとしたAIモデルの開発（顧客向けマーケティング最適化サー ビス）を、AIベンダであるX社に依頼した。 A社は、自社がAIモデルを利用できるのであれば、自社（A社）にAIモデルの知的 財産権を帰属させることにはこだわっていない。 X社としては、今回開発するAIモデルを、できればX社自身の製品として第三者に

    展開したいと考えている。 31

29. © STORIA （前提）利用目的の特定 【前提・A社の利用目的】 A社が、自社が保有する顧客データ（個人情報）を AIモデル開発のための学習用データとして用いる場合、 このような利用目的をあらかじめ通知又は公表しておく必要があるか？ ⇒令和2年改正で新設される仮名加工情報では、利用目的の変更制限が適用されな いところ（法15条2項）、下記『一問一答』では、仮名加工情報の活用例として 「機械学習モデルの学習用データセットとして用いるケース」が挙げられている。

    「一問一答 令和２年改正個人情報保護法」（佐脇紀代志編著･2020年11月）P16 例えば、以下のようなケースが、仮名加工情報の利活用として想定されます。 ①当初の利用目的には該当しない場合や、該当するか判断が難しい新たな目的での内部分 析を行うケース（データセット中の特異な値が重要とされる、医療・制約分野における研 究用データセットとして用いるケースや、不正検知等の機械学習モデルの学習用データ セットとして用いるケース等） 『一問一答』を反対解釈すれば、 「個人情報を、機械学習モデルの学習用データとして用いる」との利用目的は、 個人情報取得時に公表等していた利用目的の記載から読み取れる必要があると捉 えておくのが無難。 32

30. © STORIA （前提）利用目的の特定 （A社利用目的の記載例） 「本サービス内における利用履歴等の情報を分析して、お客様に応じたサービスのご提案 を行うため（本サービスの機能追加、改善または当社が提供する新たなサービスの開発を 行う場合を含みます。）」 （Q＆A２－１） 利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で 利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような

    事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程 度に、利用目的を特定することをいいます。このため、特定される利用目的は、具体的で本人にとって 分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、 一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。 （A社の利用目的に上記のような記載がない場合） ・現在の利用目的と「関連性を有すると合理的に認められる範囲」の場合 →利用目的に追記（変更）して公表する（法15条2項、法18条3項） ・現在の利用目的と「関連性を有すると合理的に認められる範囲」でない場合 ①本人同意を取得する（法16条1項） ②匿名加工情報に加工する ③仮名加工情報に加工する →後述 33

31. © STORIA 個人データ取扱いの委託 法23条5項 次に掲げる場合において、当該個人データの提供を受ける者は、 前各項の規定の適用については、第三者に該当しないものとする。 (1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において 個人データの取扱いの全部又は一部を委託することに伴って 当該個人データが提供される場合

    ①個人情報取扱事業者が ②利用目的の達成に必要な範囲内において ③個人データの取扱いの全部又は一部を委託することに伴って ④当該個人データが提供される場合 は「第三者」に該当しない ⇒本人からの同意取得やオプトアウト手続を経ることなく、 個人データの提供が可能 34

32. © STORIA 個人データ取扱いの委託 37 【事例①の検討】 (1)A社からX社に対するA社顧客データの提供は、個人データ取扱いの委託にあたるか？ A社－X社 A社の顧客データを学習用データとするAIモデル開発委託契約を締結。 ※A社利用目的は特定されていることを前提とする（QA2-1） 当該開発委託契約に基づいて、A社の顧客データ(個人データ)の取扱いをX社に委託し

    ている →X社への提供は、個情法上適法な「個人データの取扱いの委託」になると考えられる (2)X社が完成したAIモデルを、X社が第三者に販売することは 「個人データの第三者提供」にあたらないか？ ★完成したAIモデル（学習済みモデル）のパラメータ（重み係数）は、特定個人との対 応関係が排斥されている限り、「個人情報」に該当しない（QA1-8） ★Q&AではNG例として「個人データを委託の内容と関係のない自社の営業活動等のた めに利用する場合」が挙げられているが（QA7-37）、本事例では、個人データはあく まで「委託業務であるAIモデル開発のため」に用いられている →A社との開発委託契約に反しない限り（例：AIモデルの知的財産権がX社に帰属、X 社がAIモデルを第三者に販売することを許諾する旨の条項がある等）、X社がAIモデル を第三者に販売することは「個人データの第三者提供」にあたらず、法23条1項に抵触 しないと解する

33. © STORIA 個人データ取扱いの委託 40 【派生事例】 ②X社が開発委託契約前からAIモデルを保有している場合に、A社が保有するA社顧客デー タを、当該AIモデルに追加学習させてパラメータを更新させることはできるか？ →〇と解する。 →「追加学習」とは、 既存の学習済みモデルに、異なる学習用データセットを適用して、

    更なる学習を行うことで、新たに学習済みパラメータを生成することをいう（AIデータ契約 ガイドラインP265） →A社が保有する顧客データを、X社が保有するAIモデルの追加学習用データとして提供す ることで、X社の保有するAIモデルのパラメータを更新し、精度が向上したAIモデルについ てX社から利用許諾を受ける内容の開発委託契約（X社保有モデルに追加学習させて精度向 上させたモデルをA社が利用する内容の契約）を締結していた場合であれば、事例①と同様 の理由で、「委託」に基づいて、個情法上適法に利用可能と解する （AIモデルにゼロから学習させるか、学習済みのAIモデルに追加学習をさせるかの違いに すぎない。完成したAIモデルは個人データにあたらない点で、事例②と事例①と同様。）

34. © STORIA 個人データ取扱いの委託 41 【派生事例】 ③X社が開発委託契約前から学習用データセットを保有している場合に、 当該学習用データセットに、 A社が保有するA社顧客データを追加してデータ数を増やした データセットを、新たな学習用データセットとしたAIモデル開発を行うことはできるか？ ⇒X社の既存データセットと、A社顧客データを本人ごとに突合して、

    データ項目を増やした（リッチ化した）学習用データセットを作成する行為は、 R3パブコメ通則編351、 QA7-43に抵触する可能性が高い。 R3パブコメ（通則編）351 一般に、個人データの取扱いの委託（法第 23条第５項第１号）において、委託先は、委託に伴って委託元から提供され た個人データを、独自に取得した個人データと本人ごとに突合する処理を行うことはできません。 提供先においてかかる処理が行われる場合、提供元は、原則として、個人データの第三者提供について本人の同意を取得 する必要があります。

35. © STORIA 個人データ取扱いの委託 42 QA7-43 Ｑ７－43 A 社及び B 社から統計情報の作成の委託を受ける場合に、以下の取扱いをすることはできますか。

    ①A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、こ れを A 社及び B 社に提供すること ②A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて１つの統計情報を作 成し、これを A 社及び B社に提供すること Ａ７－43 ①個人データの取扱いの委託（法第 23 条第５項第１号）において、複数の委託を受ける委託先は、各委託 元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。 したがって、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人 ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。 外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごと に突合して統計情報を作成する場合には、A 社及び B 社においてそれぞれに対する第三者提供に関する本人の同意を 取得する等の対応を行う必要があります。 ②A 社から委託に伴って提供を受けた個人データとB 社から委託に伴って提供を受けた個人データを本人ごとに突合 していないため、委託先において A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データをサンプルとなるデータ数を増やす目的で合わせて１つの統計情報を作成することができます。 （令和３年９月追加） →委託先において、本人同士のデータ突合は、委託元の承諾があっても許されない →本人ごとに突合しなければ問題ないのか？

36. © STORIA 個人データ取扱いの委託 43 QA7-37では、以下がNG例（委託された業務以外に個人データを取扱う事例）として挙げられている 事例２）複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、 各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合 （平成 30 年

    12 月追加） ⇒委託先において、本人ごとに突合しないが、 委託元が判別できない態様で（両者を識別するためのID等を振らない等） ひとつのデータセットに統合して、学習用データセットとして用いる行為 ⇒「区別せずに混ぜて取り扱っている場合」（QA7-37）にあたりNGと考えられる。 ⇒では委託先において、本人ごとに突合せず、かつ、データの提供元が明確となる態様で、 ひとつのデータセットに統合して、学習用データセットとして用いる行為 → QA7-37「区別せずに混ぜて取り扱っている場合」にあたるといえるのか？ （私見）データの出所（委託元）が明確になる態様（委託元を識別するためのID等を振る 等）でひとつのデータセットに統合し、学習用データセットとして用いるのであれば、なお 「個人データを区別して混ぜずに取り扱っている」と解し得るのではないか。 （理由）別々の委託元から提供を受けた個人データを「サンプルとなるデータ数を増やす目 的で合わせて１つの統計情報を作成すること」はQ＆A7-43で明確に認められたところ、こ の統計情報作成は、各個人データを同一のデータセットに統合することが前提と考えられる。 識別用ID等で各委託元が明確であれば「区別せずに混ぜて取り扱っている」に該当しない と整理できなければ、 Q＆A7-43で認められた統計情報作成行為もできないはず。

37. © STORIA 個人データ取扱いの委託 44 【派生事例】 ④A社はX社との間で、AIモデル開発ではなく、X社が提供するSaaSサービス（顧客向け マーケティング最適化サービス）の利用に関する契約を締結。 X社は、当該SaaSサービス提供のために用いているAIモデルの分析技術の改善のために、A 社が入力した顧客データを用いることができるか。 →委託契約の内容に反せず、かつ、委託元の利用目的の達成に必要な範囲内であれば、委託

    業務を処理するための一環として、自社の分析技術の改善のために、委託元から提供を受け た個人データを用いることは可能と考えられる（QA7-39） Ｑ７－39 委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自 社の分析技術の改善のために利用することはできますか。 Ａ７－39 個別の事例ごとに判断することになりますが、委託先は、委託元の利用目的の達成に必要な 範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用 することができます。（令和３年９月追加） →「委託業務と無関係のサービス」の分析技術改善のために利用することはNG →A社（委託元）における利用目的の縛りはある点に注意 ★なお、委託元と顧客間におけるNDAや、法律上の守秘義務との関係は別途問題になる

38. 仮名加工情報 45

39. © STORIA （再掲）個人データ取扱いの委託 【事例①】 A社は、A社が保有する顧客データ（サービス内における顧客の行動履歴など）を 学習用データとしたAIモデルの開発（顧客向けマーケティング最適化サービス） を、AIベンダであるX社に依頼した。 A社は、自社がAIモデルを利用できるのであれば、自社（A社）にAIモデルの知的 財産権を帰属させることにはこだわっていない。 X社としては、今回開発するAIモデルを、できればX社自身の製品として第三者に

    展開したいと考えている。 46 A社の利用目的が問題

40. © STORIA （再掲）利用目的の特定 （A社利用目的の記載例） 「本サービス内における利用履歴等の情報を分析して、お客様に応じたサービスのご提案 を行うため（本サービスの機能追加、改善または当社が提供する新たなサービスの開発を 行う場合を含みます。）」 （Q＆A２－１） 利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で 利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような

    事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程 度に、利用目的を特定することをいいます。このため、特定される利用目的は、具体的で本人にとって 分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、 一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。 （A社の利用目的に上記のような記載がない場合） ・現在の利用目的と「関連性を有すると合理的に認められる範囲」の場合 →利用目的に追記（変更）して公表する（法15条2項、法18条3項） ・現在の利用目的と「関連性を有すると合理的に認められる範囲」でない場合 ①本人同意を取得する（法16条1項） ②匿名加工情報に加工する ③仮名加工情報に加工する →後述 47

41. © STORIA 仮名加工情報 仮名加工情報とは 他の情報と照合しない限り、 特定の個人を識別することができないように個人情報を加工して得られる 個人に関する情報（法2条9項） 仮名加工情報の加工基準（規則18条の7、仮匿GL2-2-2-1） (1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除 →氏名を削除、住所を◦◦県△△市に置き換え、生年月日を生年月に置き換え

    (2) 個人情報に含まれる個人識別符号の全部を削除 (3) 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述 等を削除 →クレジットカード番号を削除、 送金や決済機能のあるウェブサービスのログイン ID・パスワードを削除 48

42. © STORIA 仮名加工情報 49 PPC令和2年11月27日「改正法に関連する政令・規則等の整備に向けた論点 について（仮名加工情報）」より

43. © STORIA 仮名加工情報 【個人情報から仮名加工情報を作成したうえで、利用目的を変更する流れ】 まず現在保有する個人情報の一部を削除する等の加工をして、仮名加工情報を作 成する。（個人情報である仮名加工情報を作成。法35の2第1項、規則18の7） ↓ 作成した仮名加工情報については、作成の元になった個人情報に関して特定され ていた利用目的（法15条1項）が引き継がれる。（Q14-14・Q14-15） ↓

    仮名加工情報については、利用目的の変更制限に関する法15条2項が適用されな いため、変更前の利用目的と「関連性を有すると合理的に認められる範囲」を超 えた利用目的の変更が可能。（法35の2第9項、法15条2項） ↓ 仮名加工情報の利用目的を変更した後は、変更後の利用目的を公表する必要があ る。（法35条の2第4項により読み替える法18条3項4項。GL仮匿P15） ↓ 変更後の利用目的を公表する際は、 その利用目的が仮名加工情報に関するものであることを明確にする必要がある。 （Q14-15） 50

44. © STORIA 仮名加工情報 【プライバシーポリシー等における、仮名加工情報に関する利用目的の記載例】 【個人情報の利用目的】 当社は、お客様の個人情報を以下の目的で利用します。 ・当社Webサービス◦◦における商品の発送、関連するアフターサービス、 新商品・サービスに関する情報のお知らせのため 【仮名加工情報の利用目的】⇒NEW 当社は、個人情報保護法の定めに従い、お客様の個人情報を他の情報と照合しな

    い限り特定の個人を識別することができないように加工した仮名加工情報を、以 下の目的で利用します。 ・お客様に応じたサービスのご提案を行うために当社が開発を委託する 機械学習モデルの学習用データセットとして用いるため 51

45. © STORIA 仮名加工情報 ※仮名加工情報には、 「個人情報である仮名加工情報」(法35条の2)と 「個人情報でない仮名加工情報」(法35条の3)の2種類があり、 それぞれ別の規制が置かれている 「個人情報である仮名加工情報」 （例）作成の元となった個人情報や、削除情報等（元の個人情報から削除された 記述や加工方法など）を保有しており、当該仮名加工情報との間で容易照合性が

    認められる場合など（GL仮匿P6） →法35条の2の各義務が生じる（第三者提供の原則禁止、安全管理措置、委託 先の監督、識別行為の禁止など） ※同一事業者内で、個人情報を加工して仮名加工情報を作成し、作成の元と なった個人情報や削除情報等を保有している場合、当該仮名加工情報は 「個人情報である仮名加工情報」にあたる（R3匿パブコメ５，９） 52

46. © STORIA 仮名加工情報 「個人情報でない仮名加工情報」 （例）委託、事業承継、共同利用等により仮名加工情報が提供された場合におい て、提供先において、作成の元となった個人情報や削除情報等を保有しておらず、 当該仮名加工情報との間で容易照合性が認められない場合 （例）仮名加工情報を作成した事業者が、仮名加工情報作成後に、作成の元と なった個人情報や、削除情報等を削除したことによって、当該事業者において容 易照合性がなくなった場合（R3パブコメ15）

    →法35条の3の各義務が生じる（第三者提供の原則禁止、安全管理措置、委託 先の監督、識別行為の禁止など）。個人情報でない仮名加工情報≠非個人情報。 ⇔仮名加工情報を作成する意図を有することなく、個人情報を加工して作成の元 となった個人情報を削除した場合は、加工後の情報は非個人情報になり得る（規 則政令パブコメ501①②） 「法第35条の２第１項の「作成するとき」とは、仮名加工情報として取り扱うために当該 仮名加工情報を作成するときのことをいいます。」 （規則政令パブコメ501、475、496、500④等） 53

47. © STORIA 仮名加工情報と匿名加工情報の差異 54 PPCガイドライン仮名加工情報・匿名加工情報編（未施行）」P49.P50より

48. © STORIA 仮名加工情報 【仮名加工情報である個人データの第三者提供】 仮名加工情報である個人データは、法令に基づく場合を除くほか、 第三者提供はできない（35の2第6項）。※本人の同意を得ても提供できない。 （理由）第三者提供について本人を関与させるためには、あえて加工前の個人情報を復元 し、特定の個人を識別することが必要になるため、むしろ漏えい等発生時におけるリスク を高めることになるから（QA14-17） ⇔「仮名加工情報の作成の元になった個人データ」は、

    本人の同意を得て第三者提供が可能。 ただし、 ①委託 ②事業承継 ③共同利用 の場合は「第三者」に該当しない（法35条の2第6項で読み替える法23条5項）。 55

49. © STORIA 仮名加工情報 【仮名加工情報である個人データの、共同利用に基づく提供】 仮名加工情報を共同利用に基づいて提供する場合、 以下の情報をあらかじめ公表する必要がある （１）共同利用する旨 （２）共同して利用される仮名加工情報である個人データの項目 （３）共同して利用する者の範囲 （４）利用する者の利用目的

    （５）当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称、 住所、法人の場合は代表者氏名 →仮名加工情報は利用目的の変更制限に関する法15条2項が適用されないので、 （３）利用する者の範囲や（４）利用目的等は、作成の元となった個人情報の取得時点で 公表等されていた利用目的の内容や取得の経緯にかかわらず、設定可能である（GL仮匿 P18）。 ⇒この場合、新たに設定した（３）利用する者の範囲や（４）利用目的等を公表したうえ で、仮名加工情報の共同利用を行うことになる（GL仮匿P20）。 56

50. © STORIA 仮名加工情報 【仮名加工情報である個人データの、委託に基づく提供】 【論点】委託に伴って提供された個人データである仮名加工情報を、委託業務を 処理するための一環として、委託先が自社の分析技術の改善のために利用するこ とは可能か？ →（私見）個情委の見解では明確でないが、通常の個人データの委託の場合です ら可能と整理された以上（Q＆A7-39）、委託先は、委託元の利用目的の達成に必 要な範囲内である限りにおいて、仮名加工情報である個人データを、自社の分析

    技術の改善のために利用することは可能と考える。 ⇒委託元の「個人情報の利用目的」に縛られない利活用の手法が増えた（匿名加 工情報よりも詳細なデータの利活用を、匿名加工情報よりも簡便な方法で行うこ とができる。ただし利用目的の公表は要） （参考）仮名加工情報である個人データを、委託や共同利用に基づいて提供する 場合、法24条（外国にある第三者への提供制限）は適用されない。 政令規則パブコメ479 法第23条第５項各号に基づく場合及び改正後の法第35条の３第２項により読み替えて準用 される法第23条第５項各号に基づく場合には、仮名加工情報を外国にある第三者に提供す ることが可能です。この場合、改正後の法第 24 条の適用はありません…。 57

51. © STORIA 仮名加工情報 【仮名加工情報を作成して、同じ事業者内の別部門に提供した場合】 取扱部門Aが保有する個人情報を加工して仮名加工情報を作成し、同じ事業者内の取扱部門 Bに当該仮名加工情報を提供した。 なお、双方の取扱部門やこれらを統括すべき立場の者等は、規程上・運用上、双方のデー タベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、 通常の業務における一般的な方法で双方のデータベース上の情報を照合することができな い状態にある。

    この場合、事業部Bは、当該仮名加工情報を「個人情報でない仮名加工情報」として取り扱 うことはできるか。 →同じ事業者内において、仮名加工情報を作成し、別部門に提供する場合、 別部門でも「個人情報である仮名加工情報」として取り扱う必要がある。 R3パブコメ匿９、匿５ 一般論として、仮名加工情報を作成した事業者において、当該仮名加工情報の作成の元となった個人情 報や当該仮名加工情報に係る削除情報等を保有している場合には、通常、当該仮名加工情報は、当該事 業者が保有する「他の情報を容易に照合でき、それにより特定の個人を識別することができる」状態に あると考えられますので、「個人情報」に該当すると考えられます。 59

52. 匿名加工情報 60

53. © STORIA 匿名加工情報 GL仮匿P41、R３パブコメ76、73、80 「氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表」 「氏名等の仮IDへの置き換えに用いた置き換えアルゴリズムと乱数等のパラメータ」は、 匿名加工情報と容易照合性があるため、匿名加工情報の作成後は要破棄と変更された。 旧（現行）Q&A Ｑ11－10 匿名加工情報を作成するときには、氏名と仮

    ID 等の対応表を破棄しないといけませんか。 Ａ11－10 氏名と仮 ID 等の対応表は加工方法等情報に該当すると考えられます。したがって、当該対応表の破棄ま では求められませんが、加工方法等情報として施行規則第 20 条 各号の基準に従って安全管理措置を講ずる必要があ ります。また、匿名加工情報の作成に 用いられた個人情報に係る本人を識別するために、他の情報と照合してはなら ないとされていることから、当該目的で対応表を利用することはできませんが、匿名加工情報の安全性の検証作業な どで利用することもあり得ると考えられます。 ↓新Q&Aでは以下に変更された（事務局レポートP13の見解も変更されたことになる） Ｑ15－14 匿名加工情報を作成する過程において氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、 匿名加工情報の作成後は破棄する必要がありますか。また、氏名等の仮 ID への置き換えに用いた置き換えアルゴリ ズムに用いられる乱数等のパラメータについてはどうですか。 Ａ15－14 匿名加工情報の作成の過程において、氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、 匿名加工情報と容易に照合することができ、それにより匿名加 工情報の作成の元となった個人情報の本人を識別する ことができるものであることから、 匿名加工情報の作成後は破棄する必要があります。 また、匿名加工情報を作成 した個人情報取扱事業者が、氏名等を仮 ID に置き換えるために用いた置き換えアルゴリズムと乱数等のパラメータ の組み合わせを保有している場合には、当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置 き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加 工情報の作成の元となった個人情報の本人を識別することが できることから、匿名加工情報の作成後は、当該パラ メータを破棄する必要があります。（令和３年９月更新） 61

54. プロファイリングビジネスにおける 個人データの処理と利活用 62

55. プロファイリングとは 63

56. プロファイリングとは ▼プロファイリングとは ⇒ GDPRにおけるプロファイリングの定義は、以下の３要素で構成 ①自然人の評価（分析、予測）目的でなされる ②個人データの ③あらゆる形式の自動的な取扱い GDPR4条(4) 「自然人と関連する一定の個人的側面を評価するための、 特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信

    頼性、行動、位置及び移動に関する側面を分析又は予測するための、 個人データの利用によって構成される、あらゆる形式の、 個人データの自動的な取扱い」 64

57. ▼プロファイリングのユースケース ▼ECサイトの商品レコメンド ▼ターゲティング広告 ▼スコアリングによる自動与信（融資） ▼賃料滞納の予測 ▼人事（採用、人事考課） ▼個人信用評価システム（芝麻信用、中国） ▼再犯リスクの予測（COMPAS、米国） （これまで問題になった事例） ▼内定辞退率の予測

    ▼ケンブリッジ・アナリティカ事件（Brexit国民投票、米国大統領選） プロファイリングとは 65

58. プロファイリングとは ▼GDPRにおけるプロファイリングの規制 GDPRでは、 データ主体に対して法的効果又は同様の重大な影響を与える、 プロファイリングを含んだもっぱら自動化された取扱いに基づく意思決定 （完全自動意思決定）の対象とされない権利が保障されている（22条1項）。 ⇒「重大な権利利益の侵害になるPFを、人間の関与なしに実施してはならない」 本人の明示的な同意に基づく場合など、 例外的に上記を実施できる場合（22条2項）であっても •完全自動意思決定の存在

    •関連するロジックについての意味ある情報 •当該処理の重大性及び予測される結果 を提供する義務が課せられている（13条~14条） 人間が関与するプロファイリング（22条1項の対象ではないPF）においても、 上記の情報提供は「グッドプラクティス」とされている（プロファイリングGL） 66

59. プロファイリングとは ▼プロファイリングが抱える主な問題 ▼プライバシー権が侵害されるリスク （購入履歴から顧客の妊娠を予測したターゲット社事件） ▼差別的な判断がなされるリスク （Amazon社のAI人材採用システム事件） ▼アルゴリズムによってなされた低評価・低スコアによって 社会的に排除されるリスク（バーチャル・スラム） ▼確率的な判断であり、誤りが混入するリスクが常にある しかし日本の個人情報保護法上、

    プロファイリング特有の規制は改正法でも存在しない ⇒有識者や業界団体等によってガイドライン等が策定されつつある 67

60. プロファイリングとは ▼プロファイリングに関するガイドライン等（一部） プロファイリング全般 ・パーソナルデータ＋α研究会 「プロファイリングに関する提言案」（2018年12月19日・NBL1137号） ・総務省ＡＩネットワーク社会推進会議 「AI利活用ガイドライン」（2019年8月） 人事関連 ・一般社団法人ピープルアナリティクス＆ＨＲテクノロジー協会 「人事データ利活用原則」（2020年3

    月19 日） ・リクルートワークス研究所 「人事のＡＩ原則」（2019年10月） 信用スコア関連 ・内閣官房 情報通信技術（IT）総合戦略室／シェアリングエコノミー促進室 「シェアリングエコノミー検討会議 第2次報告書」 「シェアリングエコノミー・モデルガイドライン」（2019年5月） 金融関連 ・「金融分野における個人情報保護に関するガイドライン」（個情委・金融庁2017） 要配慮個人情報よりも広い「機微（センシティブ）情報」について、原則として 取得・利用・第三者提供を禁止 放送関連 ・「放送受信者等の個人情報保護に関するガイドライン」(総務省2017) 視聴履歴を取り扱うにあたっては、要配慮個人情報を推知し、または第三者に推知さ せないよう注意しなければならない（同ガイドライン34条） 68

61. プロファイリングとは ▼プロファイリングとの関係で問題となりうる個情法の規制 ・利用目的の特定（15 条 1 項）→GL、Q&Aで特定例がより厳格化 ・個人データの第三者提供制限（23 条 1 項）

    ・本人の人種、信条、社会的身分等の要配慮個人情報の取得は、要本人同意（17条2項） ・要配慮個人情報についてはオプトアウトによる第三者提供不可（23条2項） ・保有個人データの利用停止・消去等の請求の要件を緩和（法30条） ・違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならな い旨が明確化された（法16条の2） ・個人関連情報に関する規制（法26条の２） ・第三者提供記録の開示請求が追加（法28条5項） 69

62. 利用目的の特定 70

63. © STORIA 利用目的の特定 GLP28-P29 利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個 人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのよう な目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度 に具体的に特定することが望ましい。 本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に 予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したこと

    にはならない。 【利用目的を特定している事例】 ・取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービ スに関する広告のために利用いたします。 ・取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者 へ提供いたします。 【利用目的を特定していない事例】 ・事業活動に用いるため ・マーケティング活動に用いるため 71

64. 個人関連情報 72

65. © STORIA 個人関連情報 個人関連情報とは 「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情 報のいずれにも該当しないもの」をいう（法26条の2）。 個人関連情報に該当する例： Cookie等の端末識別子を通じて収集されたウェブサイトの閲覧履歴 年齢・性別・家族構成等 位置情報

    など ※いずれも特定の個人を識別することができないものに限られる 個人関連情報取扱事業者は、 提供先が個人関連情報を個人データとして取得することが想定されるときは、 あらかじめ当該個人関連情報に係る本人の同意等が得られていることを 確認しないで、当該個人関連情報を提供してはならない。 73

66. © STORIA 個人関連情報 74 PPC令和3年4月7日 「改正法に関連するガイドライン等の整備に向けた論点について （個人関連情報）」より

67. © STORIA 個人関連情報 提供先が「個人データとして取得」することが想定される場合の規制である 個人データ＝個人情報データベース等を構成する個人情報(法2条6項) ⇒提供先が、個人情報データベース等に個人関連情報を付加する場合や、 照合する場合など、提供先において紐づけて利用される場合を規制する制度 （R3パブコメNo347） １．個人関連情報を「個人データとして取得する」ことが想定されるときに適用されます。 提供先が、個人関連情報を個人データとして利用しない場合には、その保有する個人デー

    タとの容易照合性を排除しきれないとしても、改正後の法第26条の２は適用されないと考 えられます。 ２．個人関連情報を個人データに付加する場合のみならず、個人関連情報と個人データを 照合する場合等には、「個人データとして取得する」場合に該当することとなります。 （GL3-7-2-1も参照） 75

68. © STORIA 個人関連情報 提供元における確認義務を回避するための方策として、 契約書や誓約書等で「提供先は、提供を受けた個人関連情報を個人データとして 利用しない」旨を定めておく方針は考えられる GL3-7-2-3 契約等による対応について 提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において、提供先の第三者において、 提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常、「個人

    データとして取得する」ことが想定されず、法第26条の2は適用されない。 この場合、提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いの確認 まで行わなくとも、通常、「個人データとして取得する」ことが想定されない。 もっとも、提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情が ある場合には、当該事情に応じ、別途、提供先の第三者における個人関連情報の取扱いも確認した上で 「個人データとして取得する」ことが想定されるかどうか判断する必要がある。 QA8-6 「提供を受けた個人関連情報を個人データとして利用しない旨の誓約書を提出した場合には、通常、提 供先の第三者は当該誓約に従って個人関連情報を取り扱うものと考えられるため、原則として、「個人 データとして取得する」ことは想定されず、法第26条の2第1項は適用されないと考えられます。」 76

69. © STORIA 個人関連情報 本人の同意、取得主体 本人の同意とは、 「個人関連情報取扱事業者が第三者に個人関連情報を提供し、 当該第三者が当該個人関連情報を個人データとして取得することを承諾する旨の 当該本人の意思表示」をいう（GL3-7-3-1） 同意の取得主体は原則として提供先だが、提供元における代行取得も可能。 ①提供先における取得の場合

    ・対象となる個人関連情報を特定できるように示す必要がある ・同意を取得する際に同時に利用目的についても示すことが望ましい ・提供元である個人関連情報取扱事業者の範囲や属性を示すことは望ましい（R3パブコメ 389） ②提供元における代行取得の場合 ・本人は利用の主体を認識できないことから、提供先の第三者を個別に明示し、また、対象 となる個人関連情報を特定できるように示さなければならない ・提供先の第三者は提供元に適切に同意取得させなければならない（同意取得は、あくまで 提供先の義務） 77

70. © STORIA 個人関連情報 本人の同意、取得方法 GL3-7-3-3 ⇒明示的な方法による同意取得が求められる 同意取得の方法としては、様々な方法があるが、例えば、本人から同意する旨を示した書面 や電子メールを受領する方法、確認欄へのチェックを求める方法がある。ウェブサイト上で 同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足り ず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらな

    ければならない。 ①提供先における同意取得の記載例（A社→B社でB社が同意取得） 「当社は、以下の個人関連情報取扱事業者（※提供元の範囲や属性を示すことは「望まし い」）から、Cookie等の端末識別子を通して収集されたウェブサイト閲覧履歴（※対象とな る個人関連情報の特定を要する）を取得し、当社が保有するお客様の個人データに付加した うえで、当社が、当社サービスに関する広告配信の目的（※利用目的を同時に示すことが 「望ましい」）で利用することに同意するものとします。」 ②提供元における同意代行取得の記載例（A社→B社でA社が同意代行取得） 「当社は、当社サービスにおいてCookie等の端末識別子を通して収集されたウェブサイト閲 覧履歴（※対象となる個人関連情報の特定を要する） （以下「個人関連情報」といいま す。）をB社（※提供先の第三者を個別明示を要する）に提供し、B社はB社が保有するB社 のお客様の個人データに付加したうえで、個人関連情報を広告配信の目的で利用します。B 社のお客様は、B社に対して、B社が個人関連情報を当社から取得することについて同意する ものとします。」 78

71. その他、改正法の施行に向けて対応を要する事項 79

72. © STORIA その他、改正法の施行に向けて実務上対応を要する事項 ・プライバシーポリシー（個人情報保護指針）の改訂 （利用目的特定、保有個人データの公表事項追加（含む安全管理措置※Q10-25） 条文番号変更など） ・外国にある第三者への個人データ提供制限（法24条） ・外国にある第三者への個人関連情報提供制限（法26条の２第１項2号） ・漏えい発生時の個情委への報告・本人への通知義務（法22条の２） ・第三者提供記録の開示義務

    ・オプトアウトの厳格化（再オプトアウト禁止） ・保有個人データの期間要件廃止（6か月以内に消去するものも含まれる）、 保有個人データの開示方法につき本人が指定可能（開示請求のデジタル化）、 利用停止・消去等請求要件の緩和（利用する必要がなくなった場合、重大な漏えい等 が発生した場合、本人の権利又は正当な利益が害されるおそれがある場合にも保有個人 データの利用停止・消去請求が可能に） 80

73. ご質問は下記まで STORIA法律事務所東京オフィス 弁護士 杉浦 健二 Mail [email protected] URL https://storialaw.jp kenjisugiura01

    各種オンライン相談、チャットツール対応 TEL 03-6711-5160 〒100-0004 東京都千代田区大手町1-6-1大手町ビル6階 (地下鉄大手町駅直結) 81

74. 82