(法務記事提供元:本記事は 弁護士法人GVA法律事務所 弁護士 阿久津 透(東京弁護士会所属) 様からの寄稿記事です)

令和2年6月5日に改正個人情報保護法が成立し、同月12日に公布されました。
本記事では、改正法のうち、ターゲティング広告やDMP(データマネージメントプラットフォーム)を利用したデジタルマーケティングに与える影響が大きいと考えられる、個人関連情報の第三者提供の制限(26条の2)について解説します。
なお、本記事中、特に断りがない限り、引用している条項はいずれも個人情報保護法のものとなります。
目次
ターゲティング広告・DMP(データマネージメントプラットフォーム)とは
ターゲティング広告とは
インターネット広告ビジネスでは、インターネットユーザーの様々な情報を取得し、利活用して広告の配信が行われています。対象を指定して表示する広告のことをターゲティング広告といい、代表的なものとして以下のようなものがあります(第98回個人情報保護委員会における一般社団法人日本インタラクティブ広告協会(JIAA)説明資料参照)。
属性ターゲティング広告 | ユーザーが自ら登録を行った年齢、性別、居住地等の属性情報を利用して広告を配信例)サイトに年齢と性別を登録したユーザーをその年代・性別に分類(35歳・男性と登録→30代男性のユーザー) |
行動ターゲティング広告 | ユーザーの閲覧履歴や購買履歴等の行動履歴情報から、興味関心や消費行動を類推して広告を配信例)サイトを訪問したユーザーをそのサイトカテゴリーに関連した商品を購入しそうなユーザー群に分類(海外旅行に関するコンテンツを閲覧→旅行に興味がありそうなユーザー) |
リターゲティング広告 | ユーザーが訪れた広告主サイトでの行動履歴情報を基に、その広告主サイトへの再訪を促す広告を配信 |
コンテンツターゲティング広告 | ユーザーの情報を利用せず、ユーザーが閲覧しているサイトのコンテンツに合った広告を配信 |
DMP(データマネージメントプラットフォーム)とは
DMPと呼ばれるものには、企業が自社で蓄積したデータを活用するために用いる「プライベートDMP」と、DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには、外部に提供する「パブリックDMP」があります(個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」P24、https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf)。
プライベートDMPは、広告主が自ら収集し保有している顧客ID等の属性データや購買データ、インターネット上の行動履歴等の様々なユーザーデータを、外部の有効なデータと統合して分析し、ユーザーセグメントを最適化し、セグメントごとのメッセージを最適化して広告配信を行うという機能を果たします。
ユーザーに広告配信が行われるまでの間には、広告主が直接顧客からデータを取得するだけでなく、広告主からパブリックDMP事業者への顧客データの提供、パブリックDMP事業者から広告主へのデータ提供、広告主から広告配信媒体へのデータ提供といったように、様々な事業者の間で、ユーザーに関する情報がやり取りされることになります。
改正の背景
もともと、個人情報取扱事業者が個人データを第三者に提供する場合には、原則として、あらかじめ本人の同意が必要となります(23条)。
この規定は、あくまで「個人データ」(2条6項)の提供に関する規定ですので、提供する情報がCookie等の「個人データ」に該当しないユーザー情報であれば、この規定の適用はありません。
そのため、提供元(情報を保有し第三者に提供しようとする事業者)が、個人データに該当しないユーザーデータを第三者に提供する場合には、提供先で他の情報と照合することで個人データとされることをあらかじめ知っていたとしても、この規定の適用がありません。

引用:第127回個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」
https://www.ppc.go.jp/aboutus/minutes/2019/20191125/
このようなデータのやり取りに関して、個人情報保護法いわゆる3年ごと見直し制度改正大綱では、以下のような言及がされています。
・ターゲティング広告には、個人情報が使用される場合もあるが、個人情報を含まないユーザーデータのみが使用される場合が多い。例えば、クッキー等の識別子に紐づくユーザーデータであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合は個人情報となるが、従前、ターゲティング広告の多くでは、個人を特定しない形で行うことが業界の慣行となっていたところである。
・一方、ここ数年、インターネット上のユーザーデータの収集・蓄積・統合・分析を行う、「DMP(Data Management Platform)」と呼ばれるプラットフォームが普及しつつある。この中で、クッキー等の識別子に紐付く個人情報ではないユーザーデータを、提供先において他の情報と照合することにより個人情報とされることをあらかじめ知りながら、他の事業者に提供する事業形態が出現している。
・ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることをあらかじめ知りながら非個人情報として第三者に提供するという、法第23条の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念される。
改正個人情報保護法
個人関連情報の第三者提供の概要
上記の問題意識を背景として、今回、「個人関連情報」という新しい概念が設定され、その第三者提供の制限に関する規定が設けられました(26条の2)。
この「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
「個人関連情報」には、氏名と結び付いていないインターネットの閲覧履歴、位置情報、クッキー等なども含まれると考えられている一方で、いわゆる統計情報は、特定の個人との対応がない限りにおいては個人関連情報には該当しないと考えられています(参照:第201回国会参議院内閣委員会第13号(R2.6.4)政府参考人発言)。
具体的な規律
条文の概要
26条の2第1項は、個人関連情報の第三者提供にあたり、個人関連情報を持っている事業者(提供元)は、情報を渡す相手(提供先)が、個人関連情報を個人データとして取得することが想定される、すなわち提供元では個人データに該当しないものの、提供先において個人データとなることが想定される場合には、提供元は一定の事項を確認しなければ提供先に個人関連情報を提供してはならないということを定めています。
条文の内容は以下のとおりです。
第26条の2(個人関連情報の第三者提供の制限等)
個人関連情報取扱事業者(個人関連情報データベース等(個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。以下同じ。)を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。以下この項において同じ。)を事業の用に供している者であって、第二条第五項各号に掲げる者を除いたものをいう。以下同じ。)は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第23条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
① 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
② 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
「想定されるとき」とは
26条の2は、提供先が、個人関連情報を個人データとして取得することが想定されるときに、提供元に一定の確認義務を課すものです。
「想定される」場合として、政府参考人は以下の2つの場合を示しています。
①提供元が、事前に提供先から、「個人関連情報を受領した後に、他の情報と照合して個人データにする」と告げられているというように、提供先が個人データとして取得することを提供元の事業者が想定している場合
②取引状況等の客観的に事情に照らして、個人データとして取得することが一般人の認識を基準として想定できる場合
上記の②については、プラットフォーマーなどに対し個人関連情報を提供する際、提供先のプラットフォーマーが当該個人関連情報を氏名等で紐付けて利用することを想定しつつ、そのために用いる固有ID等を併せて提供する場合などが考えられるとされています。
想定の基準は、あくまで一般人の認識を基準としますので、提供先において個人データとして取得される可能性が高くない場合を含めてまで調査義務を課すものではないとされています。
提供元の確認事項
提供元が確認する事項は、次の2つです。
まず①提供先が、提供元から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていることを確認する必要があります(26条の2Ⅰ①)。
次に、提供先が外国にある場合には、②外国にある第三者への提供にあっては、提供元が前号の本人の同意を得ようとする場合において、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていることを確認する必要があります(26条の2Ⅰ②)。
どのように確認すればよいのかという点について政府参考人は、個人関連情報の提供先から報告を受ける、申告を受ける方法が想定されており、提供元は提供先のその申告内容を一般的な注意力を持って確認すれば足りるとされ、特段の事情がない限り、真正性や正確性まで独自に調査をすることは求めないとしています。
提供元の記録義務
提供元には、以下の提供記録の義務等も課されています
①個人情報取扱事業者は、確認を行ったときは、当該個人データの提供をした年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない(26の2Ⅲ、26Ⅲ、個人情報保護法施行規則16、17)
②個人情報取扱事業者は、前項の記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない(26の2Ⅲ、26Ⅳ、個人情報保護法施行規則18)
提供先の対応
26条の2では、提供元(情報を持っている側)は、提供先が、①本人の同意を得ているか、②本人に必要な情報を提供しているか、を確認することになっています。
そのため、提供先としては、本人の同意を得たり、必要な情報を提供しておかなければならず、そうでないと個人関連情報を提供してもらえないことになります。
政府参考人によれば、本人の同意の取得方法については、本人から同意をする旨を示した書面、電子メールを受領する方法、確認欄へのチェックなどが想定されており、例えば、ウエブサイトで同意を取得する場合に、単に記載されているということでは足りないというふうに考えておりまして、そのサイト上のボタンをクリックするなどのアクションが必要ではないかとされています。
また、提供先は、提供元からの確認に対して、当該確認に係る事項を偽ってはならないとされています(26の2Ⅲ、26Ⅱ)
施行時期等
改正法の施行時期は、一部を除いて公布の日から2年を超えない範囲で施行することになっています(改正法附則1条)。今回紹介した個人関連情報に関する規程についても交付の日から2年を超えない範囲、すなわち2022年6月頃までには施行の予定です。
個人情報保護員会によれば、施行に向けた大まかなスケジュールは以下のとおりです。

(引用:第144回個人情報保護委員会(令和2年6月15日)資料1「個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について」より抜粋)
第149回個人情報保護委員会(令和2年7月22日)において、「改正個人情報保護法政令・規則・ガイドライン等の整備に当たっての基本的な考え方について」(https://www.ppc.go.jp/files/pdf/200722_kihontekikangae.pdf)が決定され、今後ガイドラインやQ&Aのなかで、基本的な考え方や具体的や事例等が提示される予定です。
事業者の対応
未だガイドラインやQ&Aは示されていませんが、施行に備えて、あらかじめ以下の点については事前に社内で確認、整理しておく必要があります。
- 提供または受領している情報・データの内容、種類
- 提供先の利用状況に関する認識、確認状況
- プライバシーポリシーの利用目的、同意の取り方の確認
これらの事項を確認、整理の上、個人関連情報に該当しうる情報の授受を行っているようであれば、現時点から改正個人情報保護法の施行に向けて社内での対応を検討していただく方がよいと考えられます。
デューデリジェンスやコンサルティングに関心がある方はこちらもご参照下さい。
(法務記事提供元:本記事は 弁護士法人GVA法律事務所 弁護士 阿久津 透(東京弁護士会所属) 様からの寄稿記事です)