本ブログでは、3月10日に閣議決定された個人情報保護法一部改正法案に盛り込まれたクッキーに関わる規制部分について、前編・後編の2回に分けて解説致します。
個人情報保護法一部改正法案(以下「改正法案」)が3月10日、閣議決定されました。同法案は現在開会中の通常国会で審議され、会期末(6月17日)までに可決成立すれば、最も遅い場合でも公布の日から2年以内(令和4年5月末前後)に施行されます。
「個人関連情報」の第三者提供に関する規制
改正法案は多くの重要な改正点を含みますが、その中でも、新設される個人関連情報の第三者提供に関する規制は、インターネット利用者のトラッキング、プロファイリング、広告ターゲティングなどに対する規制強化となり、デジタルマーケティングに携わる事業者の関心が特に高いところです。
個人情報保護委員会は、昨年12月に公表した制度改正大綱で、「端末識別子等の取扱い」に言及し、インターネットにおける行動履歴情報などのユーザデータを活用したターゲティング広告が広く行われていること、個人情報を含まないユーザデータがDMPなど提供先において他の情報と照合することにより個人データとなる場合があること、このようなユーザデータの利用は本人が関与する余地がなく、個人データの第三者提供を規制する現行法23条の趣旨を潜脱するものであることを指摘し、提供元(広告主、メディア)では個人データに該当しないものの、提供先(DMPなど広告プラットフォーム)において個人データに該当する場合、第三者提供を制限する規律を適用する方針を明らかにしました。
この文章はダミーです。文字の大きさ、量、字間、行間等を確認するために入れています。この文章はダミーです。文字の大きさ、量、字間、行間等を確認するために入れています。この文章はダミーです。文字の大きさ、量、字間、行間等を確認するために入れています。
今日公開された改正法案で、この新規制に対応するのは以下の新設条文です。
(個人関連情報の第三者提供の制限等)
第二十六条の二 個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第二十三条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
新たな概念として、個人関連情報が定義されました。概ね、生存する個人に関する情報ではあるが、それ自身で、または他の情報と容易に照合して、特定の個人を識別することまではできないもの、と考えることができます。個人関連情報の典型例として、ウェブサイトで用いられるHTTP Cookie、モバイル端末のアプリで用いられる端末識別子などを通じて個人に関する情報(典型的には閲覧履歴など)を取得・利用する事業者が、利用可能な他の情報と照合しても当該情報から特定の個人を識別できない状況における当該情報が想定できます。
後編へ続く
改正法案に関する資料(個人情報保護委員会・公式ウェブサイト)
https://www.ppc.go.jp/news/press/2019/20200310/
