改正個人情報保護法の「個人関連情報」、匿名・仮名との違いやCookieとの関係は?:日経クロステック Active
notebook-laptop「個人関連情報」の規律は2022年4月施行の改正個人情報保護法の中でも、事業者にとって特に影響が大きなものの1つだが、その実情が広く認知されているとは言えない。個人関連情報とは何か、その規制によりどのような影響があるのか、また個人関連情報であるCookieやアプリの広告IDなどについて様々な制限が増えているが、今後どうなっていくのかについて見ていく。
個人関連情報とは何か。個人情報保護法上の定義は「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう」とされている。一般的には、クッキー(Cookie)、IPアドレス、端末固有IDや広告IDなどの識別子、位置情報、閲覧履歴、購買履歴などが該当すると説明されていることが多い。
しかし、このような列挙式のリストで該当するか否かを判断するのは危険である。「個人に関連する情報」であることから、例えば個人のスマートフォンやタブレット、パソコン、その他スマートデバイスなどであれば、端末内の全ての情報が該当すると考えるべきである。通信に伴うログについても、端末やアプリを特定している場合は個人関連情報に該当するだろう。これらは欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation、GDPR)」においてはパーソナルデータとして、一律に保護されている。
個人情報、仮名加工情報および匿名加工情報のいずれにも該当しない図 個人関連情報の定義[画像のクリックで拡大表示]日本では、これらのうち「特定の個人を識別できる(容易に照合してできる場合を含む)」場合のみを個人情報として保護対象にしている。そのため、それ以外のパーソナルデータを個人関連情報と定義付けたと言えるだろう。
また、仮名加工情報および匿名加工情報は個人関連情報から除外されている。これらは、それぞれ個人データから作成される。そのため、保護すべき対象として別途、規定が定められているからである。個人データから個人関連情報を作成することはできるが、第三者提供にあたっては個人データの第三者提供としての同意が必要である。提供を受けた側は、特定の個人を識別できない場合、個人関連情報として取り扱える。
仮名加工情報は第三者提供が禁止されている。そのため、個人データではない仮名加工情報であっても、個人関連情報として第三者に提供することはできない。匿名加工情報は、そもそも第三者提供も利用目的の変更も本人の同意を不要としているため、個人関連情報にする意味はあまりないが、匿名加工情報を加工しても、その規律は受け継がれるので個人関連情報のようには扱えない。仮名加工情報、匿名加工情報については本特集の第1回で解説しているので、そちらを参考にしてほしい。
改正個人情報保護法の「匿名」と「仮名」、加工情報の違いを具体例で理解よく勘違いされるが、個人関連情報が定義付けられたからといって、個人関連情報が個人情報保護法の対象となったわけではない。第三者提供の際にのみ一定の規律が定められただけであり、この場合もあくまで法律の対象となっている個人データとして取り扱われる場合だけである。
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。
