【I&S インサイト】クッキー規制の導入!?「通信関連プライバシー」?
〜令和2年個人情報保護法改正の対応及びその先の動向を見据えた対応〜
DATE 2022.03.29
執筆者:今村 敏
3 インターネットの閲覧履歴や位置情報、クッキー等と「個人情報」
今回は、最近特にご相談が多い、「個人関連情報」に関する話題及び当該概念に大きく関連のある総務省における議論等の概略について以下のキーワードで解説します。
- 「個人関連情報」について
- インターネットの閲覧履歴や位置情報、クッキー等と「個人情報」
- 「個人関連情報」に対する規律
- 提供元基準と提供先基準との関係
- クッキー等端末識別子に対する総務省における議論
個人情報保護法は、当然「個人情報」等に対する規律を定める法律です。他方で、近年個人情報には該当しないユーザーの属性情報や閲覧履歴等を、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら他の事業者に提供するサービス類型も出てきているところ、令和元年には、就活生が内定を辞退する確率を企業に提供するサービスが問題1となりました。
令和2年個人情報保護法改正においては、こうした本人関与のない個人情報の収集方法が広まることを防止するため、提供元では、個人データに該当しなくても、提供先において個人データとなることが想定されるものに対する規制が導入されました。そして、提供元において個人データに該当しないものであっても規律の対象とするために新たに「個人関連情報」の概念が設けられました。
「個人関連情報」とは、法律上は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」(第26条の2第1項柱書(第2条第7項)2 )と規定されています。具体的には、氏名と結びついていないインターネットの閲覧履歴、位置情報、クッキー等が想定されており、このため当該改正事項について、クッキー規制が導入されたと新聞報道等も出ているところです。
もっとも、詳細は後述しますが、「個人関連情報」に対して今回導入された規律は、第三者提供の提供先において「個人データ」となるものに関するものであって、欧州のGDPRの規定やePrivacy規則(案)で検討されている内容と比較すると、限定的な規律となっています3。もっとも、個人情報には該当しない情報であっても技術の進展等に伴いプライバシー侵害が生じうる事態が発生していることもあり、後述するように総務省等において引き続き検討が継続されているところです。
3 インターネットの閲覧履歴や位置情報、クッキー等と「個人情報」
3.1 「個人情報」と「個人関連情報」の分水嶺
令和2年個人情報保護法改正では、「個人関連情報」との概念が導入されました。具体例として、氏名と結びついていないインターネットの閲覧履歴、位置情報、クッキー等が想定されています。企業の法務担当等の方からすると、インターネットの閲覧履歴や位置情報、クッキー等については、すでに「個人情報」として扱っており、そもそもこれらの情報は個人情報に該当するものだったのではないか、分水嶺はなんなのかとの疑問も生じているのではないかと思います。個人情報と個人関連情報ではそれぞれ法的な規律が異なるためその分水嶺については正確な理解が必要です。
この点、個人情報保護委員会は、例えば位置情報に関しては「一般的に、位置情報それ自体のみでは個人情報には該当しないものではあるが、ある個人に関する位置情報が連続的に蓄積されるとその人の移動履歴を表し得る」4として原則として個人情報に該当しない旨を認めているところです。また、クッキー等の端末識別子については、個別の事案ごとに判断することとなると前置きをした上で「他の情報と容易に照合することにより特定の個人を識別することができる場合には、当該情報とあわせて全体として個人情報に該当することとなります。」 5とし、個人情報に該当しない場合には、「個人に関する情報」として「個人関連情報」に該当するとされています。
したがって、個人関連情報として想定されている、インターネットの閲覧履歴や位置情報、クッキー等は、「他の情報と容易に照合することにより特定の個人を識別することができる」(いわゆる「容易照合性」)として「個人情報」に該当する場合以外に、「個人関連情報」に該当することとなります。
3.2 容易照合性
「他の情報と容易に照合することができ」とは、事業者において通常の業務における一般的な方法で、特定の個人を識別する他の情報との照合が可能な状態を意味します。例えば、メールアドレスは、通常はそれ単独では特定個人を識別しないため、個人情報に該当しないと考えられていますが、当該メールアドレスを発行するISPにとっては、他の情報と容易に照合して特定の個人を識別することが可能であるため、それ単独で個人情報に該当すると考えられています。また、当該判断については、保有する各情報にアクセスできる者の存否、社内規約の整備等組織的な体制、情報システムのアクセス制御等の技術的な体制等を基礎として総合的に判断するとされています。例えば、事業者又は内部組織の間で組織的・経常的に相互に情報交換が行われている場合は、「容易に照合することができ」る場合に当たると考えられています。他方で、内部でもシステムが異なる等の事情により技術的に照合が困難な場合はこれに該当しないと考えられています。
※ 容易照合性のイメージ
したがって、当該情報が個人情報に該当するのか、個人関連情報に該当するのかについては個別の事案に応じての判断が必要であり、また、容易照合性の判断は、技術の革新等もありその時、その時において変化しうるものです。このため、当該判断に悩みがある場合には、法務部や専門家への相談が必須の概念であるといえます。
なお、この点に関連して、「個人関連情報」を個人情報(個人データ)として取り扱うことは可能なのか。個人情報(個人データ)としての規律のもとで取り扱う場合、「個人関連情報」に対する規律の適用はないと考えて良いのかという問題があります。特にグローバル企業はGDPR等の対応もあるため、概念上は「個人関連情報」であっても、「個人情報」として一律に扱う方がトータルコストが安くなるといったことも背景事情にはあると考えられます。この点に関するパブリックコメント6も存在するところですが、個人情報保護委員会は、「事業者は、個人情報に該当するか否かを判断し、個人情報に該当する情報については、個人情報の取扱いに適用される規律に従って取り扱う必要がありますが、改正後法第26条の27に従って取り扱う必要はありません」との回答をしており、事業者側で、「個人関連情報」を「個人情報」として取り扱うことの是非に関して必ずしも明確にはなっていません。もっとも、個人関連情報に関する規律が設けられた背景から考えると、個人関連情報であっても、より厳格な規律である個人情報(個人データ)として当該規律に対応して取り扱うことを認めても個人の権利利益保護には資するのであって問題ないのではないかと思われます。
個人関連情報に当該情報が該当するとして、個人関連情報に対して今回の改正で導入される規制(第26条の2(第31条))は、個人関連情報取扱事業者が、提供先で個人データとして取得されると想定しながら、個人関連情報を第三者提供しようとする場合に、当該個人関連情報に係る本人の同意が得られていることを確認しないで提供してはならないこととするものです。
前述の令和2年個人情報保護法改正で導入される「個人関連情報」に関する議論は、従前のいわゆる、「提供元基準」、「提供先基準」の議論とも関連のある問題です。この議論は、個人データの第三者提供の場面において、提供元では特定個人を識別可能であるものの、当該情報における特定個人に関する情報を匿名化等することで、提供先では特定個人の識別ができない場合に、個人データの第三者提供の規定の適用があるのかとの有名な論点です。当該議論は平成27年改正における匿名加工情報の議論にもつながりました。同様の議論は、提供元では他の情報との照合が容易であるために個人情報に該当するが、提供先では他の情報との照合が容易とは言えないため個人情報に該当しない場合においても生じます。
平成27年個人情報保護法改正前の学説及び実務では、提供先基準が有力な考え方でした。この論点が具体的に問題になった事例としてJR東日本によるSuicaの乗降履歴の日立製作所への提供の事例 89があります。この事例では、情報の受領者である日立製作所においては、受領した乗降履歴情報だけでは特定個人を識別可能性がなかったため、個々の利用者を直接結ぶ情報を別途保有しており、当該情報と乗降履歴が容易に照合可能であるといった事情がない限りは、個人データの第三者提供の規定の適用はないと考えてビジネスが設計されていました。
※ 「Suicaに関するデータの社外への提供について 中間とりまとめ」(2014年2月)より抜粋
しかし、平成27年個人情報保護法改正時の議論もあり、個人情報保護委員会は個人データの第三者提供の場面では提供元基準をとることを当時のパブリックコメント10で明確化し、その後の国会答弁等でも同様の趣旨を回答し、令和2年改正時の議論においても「個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、出す部分単独では個人情報をなしていなくても、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」場合には、提供元に対して、個人情報としての管理の下で適切に提供することを法律は求めている」とし、「これは提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を確保する義務を課すと言う基本的発想から、提供元において上記のような情報についても個人情報として扱うことを求めている(いわゆる提供元基準)」11と説明しています。
個人関連情報に関する規律は、デジタル広告業界に与える影響は大きなものとなっており、広告事業者や広告主等がどのような対応を取るべきかについて継続的に議論がされている状況です。特に、クッキー等の識別子は、ブラウザやアプリの識別に加えて、端末や通信を識別するために用いられるものであって、広告事業者は、それによりターゲティングのみならず、広告の効果測定や、無効トラフィック(アドフラウド)対策、デバイスや通信環境に合わせた表示の最適化等に利用しているところであり今回の規制によって制限が生ずるため、代替技術の開発は今後も進んでいます。例えば、新たなソリューションとして、ファーストパーティデータの利用としてデータクリーンルームの検討等がなされているところです。
※ 「インターネット広告における利用者情報の取扱いに関する動向および今後の取り組みについて」(抜粋)12
7.1 プラットフォームサービスに関する研究会
クッキー規制等に関する議論は、総務省においても議論がなされています。「プラットフォームサービスに関する研究会 中間とりまとめ」(令和3年9月)では以下の記載が見られるところであり、総務省においても何らかの規制等を検討する意思がこの時点から明確にあらわれていたと言えます。
「スマートフォンやタブレットなどの通信端末の位置情報や、ウェブサイト上の行動履歴、利用者の端末から発せられ、または、利用者の端末情報に蓄積される端末IDやクッキーなどの端末を識別する情報等については、通信の秘密やプライバシー保護の関係で、その適切な取扱いの確保のための規律を検討していく必要がある。」(101頁)
「通信サービスの利用に関わる利用者端末情報とそれに紐付く情報の保護については、「通信関連プライバシー」として保護されるべき利用者の権利として、把握されるべきであると考えられる。即ち、情報通信が我が国の経済・社会活動、国民生活の基盤として重要な役割を果 たすようになりつつあることを踏まえ、電気通信事業者や電気通信事業者の設備のみに着目するのではなく、電気通信サービスの利用者の権利に着目し、通信の秘密に加えて電気通信サービスの利用者のプライバシー保護を電気通信事業法の目的として考えていく必要があると考えられる。また、このような利用者端末情報等を取り扱う者の全てが、保護すべき義務を負うこととすることが考えられる」(105頁)
「適切な利用者情報の取扱いを確保する観点から、電気通信事業GLにおいて必要とされる事項(例:表示や公表、望ましい取扱い等)を定めた上で、当該GLの遵守状況や事業者の自主的な取組の状況について、定期的にモニタリングを行うべきであると考えられる。
また、変化の激しいデジタル広告などを含めた通信関連プライバシーの保護のためには共同規制が有用であると考えられるがこの共同規制について外縁を明らかにして内外事業者に対する実効性を高めるため、事業者に法律上の義務を課すことが有用であるとの指摘も踏まえ、電気通信事業法等における規律の内容・範囲等について、eプライバシー規則(案)の議論も参考にしつつ、cookieや位置情報等を含む利用者情報の取扱いについて具体的な制度化に向けた検討を進めることが適当」(106頁)
7.2 電気通信事業ガバナンス検討会
当該検討会において、事務局資料として「電気通信事業ガバナンスの在り方と実施すべき措置」(令和3年11月26日)が公表され、電気通信事業に係る情報えい・不適正な取扱い等に対するリスク対策が検討項目の一つとして議論されています。
その議論の中で、当該対策において、対象となる情報として「電気通信が我が国の経済・社会活動、国民生活の基盤として重要な役割を果たすようになりつつあること、情報の漏えい・不適正な取扱い等が利用者に及ぼす影響の大きさなどを踏まえ、利用者が安心できる電気通信役務の提供を確保する観点を重視し、通信の秘密に関する情報を含む「電気通信役務利用者情報」(電気通信役務の利用者に関する情報であって利用者を識別することができるもの)を適正管理を行うべき情報として整理することが適当ではないか。」とされています。このほか、対象事業者の議論や具体的な規律内容に関する議論が継続的に行われているところです。
※ 総務省「電気通信事業ガバナンス検討会」(第12回)資料12―2
この辺りの端末識別子やCookie等に関わる議論は、令和3年の年末から令和4年の年始に特に盛り上がりを見せて、当初利用者保護の観点から法改正事項として上記の内容などに関する規律の検討がなされていたところですが、事業者団体からの強い反発等もあり今回の法改正としてどのような内容が法律事項として追加され、実際の運用等としてどのような解釈がガイドライン等で示されていくのか。「電気通信役務利用者情報」に関係のある議論については今後も引き続きのウォッチが必要となっています(議論の詳細については別の機会に説明を予定しています。)13。
欧米では、そもそもクッキー等の端末識別子が個人情報(personal data)の定義に包含されており、個人情報としての保護の文脈でこれまでも議論されてきました。他方で、日本は、令和2年個人情報改正においても「個人情報」の定義に入れることは見送られ、代わりに「個人関連情報」としての定義を設け、「第三者提供」の場面のみの規律をひとまず作ることで残りは事業者の自主的な対応に任せるとし、引き続き技術動向に合わせて検討することとされました。他方で、電気通信事業法における「通信の秘密」との関係では、「通信関連プライバシー」として議論がスタートし、新たに「電気通信役務利用者情報」としての保護が検討・議論されていたところです。クッキー等の端末識別子は現在の様々なサービスで用いられている技術であり当該改正動向はその影響も大きいことから引き続きウォッチが必要となりますが、プライバシー対策をきちんと行うことが今後は企業ブランドを高める一つの戦略として非常に重要になってくると思われるところ、法律規制ギリギリのグレーなビジネスを展開するだけでなく、企業ポリシーとして、利用者保護・プライバシー保護を重視した戦略を展開し対外的に打ち出すこともビジネス判断として今後非常に重要になると考えます。
以上
- いわゆるリクナビ問題(個人情報の保護に関する法律に基づく行政上の対応について)
- 括弧内は、令和4年4月1日の改正法施行後の条文番号
- この点について、改正に係る検討では、端末識別子の取扱いについて、「消費者からは、端末識別子そのものを個人情報と規律することや、提供先において個人情報として取り扱われる場合に規律の対象とすることを求める意見」があったのに対して、「事業者からは、ユーザーの利便性への配慮を求める意見や、イノベーションを阻害しない観点から規制の対象とすることに慎重な意見」があり、「今回の改正では、個人関連情報の第三者提供に関する規律を導入する一方で、端末識別子そのものについては、関連する技術・ビジネスモデルの実態が多様かつ変化が激しいことを踏まえ、まずは自主的ルール等による適切な運用が重要」とされました(「一問一答 令和2年改正個人情報保護法」)
- 個人情報保護委員会事務局レポート:「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」
- 「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」Q8-1
- 「個人情報の保護に関する法律についてのガイドライン(通則編)の一部を改正する告示案」に関する意見募集結果 295番
- 令和4年4月1日の改正法施行後は、第31条となる。
- 「Suicaに関するデータの社外への提供について 中間とりまとめ」(2014年2月)
- 「Suicaに関するデータの社外への提供について とりまとめ」(2015年10月)
- ある情報を第三者に提供する場合、当該情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断します。(パブコメ(通則編)No19等)(平成28年11月30日)
- 第127回個人情報保護委員会資料1「個人情報保護を巡る国内外の動向」)(令和元年11月25日)
- 総務省 プラットフォームサービスに関する研究会 プラットフォームサービスにかかる利用者情報の取扱いに関するワーキンググループ(第7回資料2)
- なお、令和4年3月4日に提出された「電気通信事業法の一部を改正する法律案」では、当初議論になっていた「電気通信役務利用者情報」は、「特定利用者情報」(電気通信役務に関して取得する利用者に関する情報であって、①通信の秘密に該当する情報、②利用者を識別することができる情報であって総務省令で定めるもの)として少し表現及び概念が変わりました。そして、「総務大臣は、…総務省令で定める電気通信役務を提供する電気通信事業者を、特定利用者情報…を適正に扱うべき電気通信事業者として指定することができる」として大規模な事業者を念頭に新たな規律を設けることが明らかになりました(総務省 第208回国会(常会)提出法案)。
詳細情報
執筆者 |
|
---|---|
取り扱い分野 |
取り扱い分野で絞り込む
- 独占禁止法/競争法
- 独占禁止法の当局対応
- 独占禁止法/競争法上のアドバイス
- 他社の独禁法違反に対する対応
- 独占禁止法コンプライアンス
- 不正競争防止法/営業秘密
- 企業結合審査/業務提携
- 外国競争法
- 下請法
- 消費者法
- 景品表示法・その他の表示規制の相談
- 景品表示法・その他の表示規制の相談
- 景品表示法コンプライアンス
- 他社の景表法違反に対する対応
- 景品表示法の当局対応(危機管理)
- 広告代理店/アフィリエイターによる広告
- 食品表示
- 個人情報・プライバシー・セキュリティ
- 消費者安全関係/PL(製造物責任)
- 特定商取引法・電子メール規制
- 消費者争訟・消費者団体対応
- プライバシー/情報法
- 電子商取引法・デジタルプラットフォーム規制
- 関連分野
- 一般企業法務(ジェネラル・コーポレート)
- ヘルスケア
- IT
- ゲーム
- 広告ビジネス
- 電気通信事業