個人情報保護法の整理・情報の種類別の扱い方(2020年改正反映)

個人にかかわる情報の分類

  • 個人情報
    • 個人識別符号(指紋などのユニークな身体的特徴や免許書番号など、政令で決まっている)→紐づけなくても単独で個人情報扱い
    • 要配慮個人情報(信条、社会的身分、病歴、犯罪歴など、政令で決まっている)→扱いがより厳格
    • (その他の個人情報)
  • 法的に扱いが決まっている非個人情報
    • 加工情報(個人情報を非個人情報化したもの)
      • 匿名加工情報
      • 仮名加工情報
    • 個人関連情報
  • 個人情報
    • 個人データ(検索可能)
      • 保有個人データ(開示、訂正、消去等の権限を有するもの。2020年の改正で新たに6か月未満で消去するデータも含めるように)

個人情報の中で請求対応が必要なのは保有個人データのみ

それぞれの扱い方の規制

個人情報

  • 取得する際には目的を通知または公表
    • 要配慮個人情報を取得する場合は本人の同意が事前に必要
  • 第三者提供
    • 事前に同意が必要
    • 第三者提供ではなく委託であれば同意不要。しかし監督が必要
    • 共同利用は範囲と利用目的と項目と管理責任者名を公表する必要がある
    • 同意をとらない(オプトアウト型)の場合、個人情報保護委員会への届出が必要
    • 要配慮個人情報はNG
    • (新設)オプトアウト型で取得した個人情報もNG
    • (新設)第三者提供記録の開示請求への対応が必要に
  • 開示請求への対応が必要(本人が望めばデジタルで開示する必要がある)
  • 利用停止・消去・第三者提供の停止請求
    • 個人情報が不法に取得、取り扱いされた場合
    • (新設)個人データを利用しなくなった場合や当該本人の権利又は正当な利益が害される恐れがある場合に請求可能に

※オプトアウト型:最初の同意はなく、事後的に本人がオプトアウトできる形で情報を取得する

匿名加工情報→個人情報を不可逆にぼかしたもの

  • 作成後に項目公表する義務
  • 第三者提供する場合、項目と提供方法を公表する義務
  • 他の情報と照合NG→使いにくい
  • 利用目的は公表不要
  • データを流通させるのが目的

仮名加工情報→個人情報を可逆な形でぼかしたもの(新設。紐づけて復元可能)

  • 利用目的公表する義務
  • 第三者提供NG
    • 委託であれば同意不要。しかし監督が必要
    • 共同利用は範囲と利用目的と項目と管理責任者名を公表する必要がある
  • 自社内で便利に使うのが目的

個人関連情報(新設。cookieが該当)

  • 第三者提供をする場合
    • その会社にデータを提供する同意を事前に取る義務
    • 外国の場合、その国の制度について告知
  • 第三者提供をされる場合→される側ではそれは個人データ!事前に本人から同意をとる義務。
  • CookieやIDFAに対する扱いを決めるのが目的

2020年改正で追加された分類

  • 従来は匿名加工情報でないものは個人情報だったが、グレーゾーンとして仮名加工情報を明確化→個人情報としての制限から緩める
  • 個人情報ではないが個人情報っぽいものを個人関連情報として指定し、制限の対象に加えた

匿名加工情報と仮名加工情報の違い
https://www.nssol.nipponsteel.com/future/stories/hands-on.html

記事自体は古いが、匿名化と仮名化の概念については新しい法制でも通用する。

匿名加工情報と仮名加工情報も個人情報から生成されるものなので、扱う会社は当然個人情報を保有する者としての扱いが適用される

Cookieの扱い

  • 単純にウェブの行動ログを記録するだけであれば個人関連情報にすぎない
  • しかし紐づけて使う場合には個人情報になる→個人情報としての扱いが必要

とりあえずcookie使っておいて後で何らかの方法で個人と紐づける

→アウト。そもそも何かと紐づけて使うことが前提なのであれば個人情報としての扱いをする必要がある

こういった個人関連情報になるものはその他IDFA、AAID、IPアドレスなどが該当する。