![© STORIA
個人情報の定義(1号・特定個人を識別できるもの)
パーソナルデータに関する検討会の下に設置された
技術検討ワーキンググループによる報告書(2013/12/10)
個人情報に関するいわゆる個人識別性については、「特定」と「識別」に分けて
議論した。
ここで「特定」とは「ある情報が誰の情報であるかが分かること」である。
一方、「識別」とは「ある情報が誰か一人の情報であることが分かること」(あ
る情報が誰の情報であるかが分かるかは別にして、ある人の情報と別の人の情報
を区別できること)である。
18
「識別特定情報のみが個人情報であり、
識別非特定情報および非識別非特定情
報は個人情報ではない」
(石井夏生利ほか『個人情報保護法コンメン
タール』(勁草書房2021)P15)
「個人を識別するのみで特定しない情
報は、個人情報に含まれないことに
なった」
(宇賀克也『個人情報保護法の逐条解説[第5
版]』(有斐閣2016)P41)
上記WG報告書P1より引用](https://image.slidesharecdn.com/qa20211026-220407074014/85/Q-A-20211026-19-320.jpg)
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
- 3. 弁護士杉浦 健二|k-sugiura@storialaw.jp ▼主な取扱分野 個人情報保護法制を踏まえた個人データの利活 用、デジタルプラットフォーム、SaaS等のオ ンラインビジネスをめぐる法的問題、AI・デー タに関する法律問題を主に取り扱う。 近年はデータビジネスのスキーム構築(個人情 報、著作権の処理など)に携わる機会が増えて いる。 ▼主な支援企業 AI/ITビジネス、SaaS等のウェブサービス、デ ジタルプラットフォーム(BtoB/CtoC)、SNS、 ゲーム、マスメディア、エンタテインメントな ど東証一部からスタートアップまで storialaw.jp All rights reserved. ▼注力する法分野 IT/AI/データ関連法、オンラインビジネス関連法 (個人情報保護法、著作権法、資金決済法など) ▼略歴 企業勤務を経て2007年弁護士登録。2015年 STORIA法律事務所設立、東京・神戸の2事務所 体制(弁護士9名)。経済産業省デジタルプラット フォーム取引相談窓口業務顧問(2021年4月-) ▼メディア、寄稿等(直近) ・日本経済新聞、NHKニュースウォッチ9 個人情報保護法に関するコメント、取材協力など ・「ツイッターのシステム上生じるトリミングによ る氏名表示権の侵害を認めた事例-リツイート最高裁 判決-」知財管理71巻7号974頁 弁護士法人STORIA https://storialaw.jp STORIA法律事務所東京オフィス パートナー弁護士 2
- 7. © STORIA ▼令和3年改正法の概要 PPC令和3年9月14日 「個人情報保護のための 民間の自主的取組の促進について」より 6
- 8. © STORIA ▼令和3年改正法の概要 PPC令和3年5月7日 「個人情報保護法 令和2年改正及び令和3年改正案について」より 7
- 11. © STORIA 本セミナー資料内における参照資料 法 令和2年改正個人情報保護法 GL 個人情報の保護に関する法律についてのガイドライン(通則編) 令和3年8月2日一部改正 Q&A 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A 令和3年9月10日更新 R3パブコメ 「個人情報の保護に関する法律についてのガイドライン(通則編、外国に ある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情 報編)の一部を改正する告示」等に関する意見募集の結果について 【別紙2-1】意見募集結果 (2021年8月2日付) 事務局レポート 個人情報保護委員会事務局レポート:匿名加工情報パーソナルデータの利 活用促進と消費者の信頼性確保の両立に向けて 個人情報保護委員会事務局(2017年2月) 10
- 12. 個人情報の定義 11
- 13. 個人情報の定義 storialaw.jp All rights reserved. 個人情報(法2条1項) 生存する個人に関する情報であって、 (1) 氏名、生年月日その他の記述等により特 定の個人を識別することができるもの (他の情報と容易に照合することができ、 それにより特定の個人を 識別することがで きることとなるものも含む) (2) 個人識別符号が含まれるもの ①取得・利用に関するルール ・利用目的の特定(15) ・利用目的の制限(16) ・適正取得(17) ・取得時の利用目的通知(18) 12 個人データ(法2条6項) 個人情報データベース等(※)を構成する個 人情報 (※)電子媒体・紙媒体を問わず、特定の個 人情報を検索することができるように体系的 に構成したもの(例:名簿、連絡帳) 保有個人データ(法2条7項) 個人データのうち開示、訂正、削除等 の権限を有するもの PPC「個人情報保護を巡る国内外の動向」(平成31年3月20日) をもとに作成 https://www.ppc.go.jp/files/pdf/190320_shiryou1.pdf ②保管に関するルール ・正確性の確保(19) ・安全管理措置(20) ・従業者の監督(21) ・委託先の監督(22) ③提供に関するルール ・第三者提供の制限(23) ③開示等の定めに関するルール ・保有個人データに関する事項の公表(27) ・開示・訂正等・利用停止等(28・29・30) ・理由の説明(31) ・開示等の求めに応じる手続き(32)
- 14. © STORIA 個人情報の定義 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記 録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい う。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除 く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。) 二 個人識別符号が含まれるもの 生存する個人に関する情報であり、かつ、 1号 特定の個人を識別できるもの 2号 個人識別符号が含まれるもの ※公開された情報であるかどうかは問わない 13
- 15. © STORIA 個人情報の定義(2号・個人識別符号) 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記 録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい う。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除 く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。) 二 個人識別符号が含まれるもの(施行令1条、施行規則2条~4条) 例)顔認証データ、指紋認証データ、パスポート、運転免許証番号など →「生存する個人に関する情報」の一部に個人識別符号が含まれている場合、 その「生存する個人に関する情報」全体が「個人情報」に該当する 14
- 16. © STORIA 個人情報の定義(1号・特定個人を識別できるもの) 個人情報保護法 第二条 この法律において「個人情報」とは、生存する個人に関する情報であっ て、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記 録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をい う。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、 若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除 く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報 と容易に照合することができ、それにより特定の個人を識別することができるこ ととなるものを含む。) 二 個人識別符号が含まれるもの 生存する個人に関する情報であって、 ①当該情報に含まれる氏名、生年月日その他の記述等により、 特定の個人を識別することができるもの ②他の情報と容易に照合することができ、 それにより特定の個人を識別することができることとなるもの 15
- 21. 容易照合性の問題 20
- 23. © STORIA 容易照合性 【事業者内部の容易照合性に関するQ&A1-18】 ①各取扱部門が独自に取得した個人情報を、取扱部門ごとに設置されているデー タベースにそれぞれ別々に保管している場合において ②双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方の データベースを取り扱うことが厳格に禁止されていて ③特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方 のデータベース上の情報を照合することができない状態である場合は 双方のデータベースについては容易照合性がない Q1-18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベー スにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータ ベースの双方を取り扱うことができないときには、「容易に照合することができ」(法第2条第1項) ないといえますか。 A1-18 事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベー スにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、 規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をか けることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができ ない状態である場合は、「容易に照合することができ」ない状態であると考えられます。 一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベー ス上の情報を照 合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。 23
- 24. © STORIA 容易照合性 事務局レポートによると、容易照合性は ・保有する各情報にアクセスできる者の存否 ・社内規程の整備等 の組織的な体制 ・情報システムのアクセス制御等 の技術的な体制 等を総合的に勘案して判断されるとしている。 (事務局レポートP14) 「容易照合性」の判断要素としては、 ・保有する各情報にアクセスできる者の存否、社内規程の整備等の組織的な体制、 ・情報システムのアクセス制御等の技術的な体制等が挙げられ、 これらを総合的に勘案して「特定の個人を識別することができる」か否かが判断されるもの であり、取り扱う個人情報の内容や利活用の方法等、事業者の実態に即して個々の事例ごと に判断されることとなる※。 ※ 瓜生和久編 『一問一答 平成 27 年改正個人情報保護法』 (商事法務、2015 年) P13(Q8) 24
- 27. 個人データの取扱いの委託 30
- 34. © STORIA 個人データ取扱いの委託 41 【派生事例】 ③X社が開発委託契約前から学習用データセットを保有している場合に、 当該学習用データセットに、 A社が保有するA社顧客データを追加してデータ数を増やした データセットを、新たな学習用データセットとしたAIモデル開発を行うことはできるか? ⇒X社の既存データセットと、A社顧客データを本人ごとに突合して、 データ項目を増やした(リッチ化した)学習用データセットを作成する行為は、 R3パブコメ通則編351、 QA7-43に抵触する可能性が高い。 R3パブコメ(通則編)351 一般に、個人データの取扱いの委託(法第 23条第5項第1号)において、委託先は、委託に伴って委託元から提供され た個人データを、独自に取得した個人データと本人ごとに突合する処理を行うことはできません。 提供先においてかかる処理が行われる場合、提供元は、原則として、個人データの第三者提供について本人の同意を取得 する必要があります。
- 35. © STORIA 個人データ取扱いの委託 42 QA7-43 Q7-43 A 社及び B 社から統計情報の作成の委託を受ける場合に、以下の取扱いをすることはできますか。 ①A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、こ れを A 社及び B 社に提供すること ②A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作 成し、これを A 社及び B社に提供すること A7-43 ①個人データの取扱いの委託(法第 23 条第5項第1号)において、複数の委託を受ける委託先は、各委託 元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。 したがって、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人 ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。 外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごと に突合して統計情報を作成する場合には、A 社及び B 社においてそれぞれに対する第三者提供に関する本人の同意を 取得する等の対応を行う必要があります。 ②A 社から委託に伴って提供を受けた個人データとB 社から委託に伴って提供を受けた個人データを本人ごとに突合 していないため、委託先において A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受け た個人データをサンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成することができます。 (令和3年9月追加) →委託先において、本人同士のデータ突合は、委託元の承諾があっても許されない →本人ごとに突合しなければ問題ないのか?
- 36. © STORIA 個人データ取扱いの委託 43 QA7-37では、以下がNG例(委託された業務以外に個人データを取扱う事例)として挙げられている 事例2)複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、 各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合 (平成 30 年 12 月追加) ⇒委託先において、本人ごとに突合しないが、 委託元が判別できない態様で(両者を識別するためのID等を振らない等) ひとつのデータセットに統合して、学習用データセットとして用いる行為 ⇒「区別せずに混ぜて取り扱っている場合」(QA7-37)にあたりNGと考えられる。 ⇒では委託先において、本人ごとに突合せず、かつ、データの提供元が明確となる態様で、 ひとつのデータセットに統合して、学習用データセットとして用いる行為 → QA7-37「区別せずに混ぜて取り扱っている場合」にあたるといえるのか? (私見)データの出所(委託元)が明確になる態様(委託元を識別するためのID等を振る 等)でひとつのデータセットに統合し、学習用データセットとして用いるのであれば、なお 「個人データを区別して混ぜずに取り扱っている」と解し得るのではないか。 (理由)別々の委託元から提供を受けた個人データを「サンプルとなるデータ数を増やす目 的で合わせて1つの統計情報を作成すること」はQ&A7-43で明確に認められたところ、こ の統計情報作成は、各個人データを同一のデータセットに統合することが前提と考えられる。 識別用ID等で各委託元が明確であれば「区別せずに混ぜて取り扱っている」に該当しない と整理できなければ、 Q&A7-43で認められた統計情報作成行為もできないはず。
- 37. © STORIA 個人データ取扱いの委託 44 【派生事例】 ④A社はX社との間で、AIモデル開発ではなく、X社が提供するSaaSサービス(顧客向け マーケティング最適化サービス)の利用に関する契約を締結。 X社は、当該SaaSサービス提供のために用いているAIモデルの分析技術の改善のために、A 社が入力した顧客データを用いることができるか。 →委託契約の内容に反せず、かつ、委託元の利用目的の達成に必要な範囲内であれば、委託 業務を処理するための一環として、自社の分析技術の改善のために、委託元から提供を受け た個人データを用いることは可能と考えられる(QA7-39) Q7-39 委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自 社の分析技術の改善のために利用することはできますか。 A7-39 個別の事例ごとに判断することになりますが、委託先は、委託元の利用目的の達成に必要な 範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用 することができます。(令和3年9月追加) →「委託業務と無関係のサービス」の分析技術改善のために利用することはNG →A社(委託元)における利用目的の縛りはある点に注意 ★なお、委託元と顧客間におけるNDAや、法律上の守秘義務との関係は別途問題になる
- 38. 仮名加工情報 45
- 41. © STORIA 仮名加工情報 仮名加工情報とは 他の情報と照合しない限り、 特定の個人を識別することができないように個人情報を加工して得られる 個人に関する情報(法2条9項) 仮名加工情報の加工基準(規則18条の7、仮匿GL2-2-2-1) (1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除 →氏名を削除、住所を○○県△△市に置き換え、生年月日を生年月に置き換え (2) 個人情報に含まれる個人識別符号の全部を削除 (3) 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述 等を削除 →クレジットカード番号を削除、 送金や決済機能のあるウェブサービスのログイン ID・パスワードを削除 48
- 52. 匿名加工情報 60
- 53. © STORIA 匿名加工情報 GL仮匿P41、R3パブコメ76、73、80 「氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表」 「氏名等の仮IDへの置き換えに用いた置き換えアルゴリズムと乱数等のパラメータ」は、 匿名加工情報と容易照合性があるため、匿名加工情報の作成後は要破棄と変更された。 旧(現行)Q&A Q11-10 匿名加工情報を作成するときには、氏名と仮 ID 等の対応表を破棄しないといけませんか。 A11-10 氏名と仮 ID 等の対応表は加工方法等情報に該当すると考えられます。したがって、当該対応表の破棄ま では求められませんが、加工方法等情報として施行規則第 20 条 各号の基準に従って安全管理措置を講ずる必要があ ります。また、匿名加工情報の作成に 用いられた個人情報に係る本人を識別するために、他の情報と照合してはなら ないとされていることから、当該目的で対応表を利用することはできませんが、匿名加工情報の安全性の検証作業な どで利用することもあり得ると考えられます。 ↓新Q&Aでは以下に変更された(事務局レポートP13の見解も変更されたことになる) Q15-14 匿名加工情報を作成する過程において氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、 匿名加工情報の作成後は破棄する必要がありますか。また、氏名等の仮 ID への置き換えに用いた置き換えアルゴリ ズムに用いられる乱数等のパラメータについてはどうですか。 A15-14 匿名加工情報の作成の過程において、氏名等を仮 ID に置き換えた場合における氏名と仮 ID の対応表は、 匿名加工情報と容易に照合することができ、それにより匿名加 工情報の作成の元となった個人情報の本人を識別する ことができるものであることから、 匿名加工情報の作成後は破棄する必要があります。 また、匿名加工情報を作成 した個人情報取扱事業者が、氏名等を仮 ID に置き換えるために用いた置き換えアルゴリズムと乱数等のパラメータ の組み合わせを保有している場合には、当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置 き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加 工情報の作成の元となった個人情報の本人を識別することが できることから、匿名加工情報の作成後は、当該パラ メータを破棄する必要があります。(令和3年9月更新) 61
- 55. プロファイリングとは 63
- 60. プロファイリングとは ▼プロファイリングに関するガイドライン等(一部) プロファイリング全般 ・パーソナルデータ+α研究会 「プロファイリングに関する提言案」(2018年12月19日・NBL1137号) ・総務省AIネットワーク社会推進会議 「AI利活用ガイドライン」(2019年8月) 人事関連 ・一般社団法人ピープルアナリティクス&HRテクノロジー協会 「人事データ利活用原則」(2020年3 月19 日) ・リクルートワークス研究所 「人事のAI原則」(2019年10月) 信用スコア関連 ・内閣官房 情報通信技術(IT)総合戦略室/シェアリングエコノミー促進室 「シェアリングエコノミー検討会議 第2次報告書」 「シェアリングエコノミー・モデルガイドライン」(2019年5月) 金融関連 ・「金融分野における個人情報保護に関するガイドライン」(個情委・金融庁2017) 要配慮個人情報よりも広い「機微(センシティブ)情報」について、原則として 取得・利用・第三者提供を禁止 放送関連 ・「放送受信者等の個人情報保護に関するガイドライン」(総務省2017) 視聴履歴を取り扱うにあたっては、要配慮個人情報を推知し、または第三者に推知さ せないよう注意しなければならない(同ガイドライン34条) 68
- 61. プロファイリングとは ▼プロファイリングとの関係で問題となりうる個情法の規制 ・利用目的の特定(15 条 1 項)→GL、Q&Aで特定例がより厳格化 ・個人データの第三者提供制限(23 条 1 項) ・本人の人種、信条、社会的身分等の要配慮個人情報の取得は、要本人同意(17条2項) ・要配慮個人情報についてはオプトアウトによる第三者提供不可(23条2項) ・保有個人データの利用停止・消去等の請求の要件を緩和(法30条) ・違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならな い旨が明確化された(法16条の2) ・個人関連情報に関する規制(法26条の2) ・第三者提供記録の開示請求が追加(法28条5項) 69
- 62. 利用目的の特定 70
- 64. 個人関連情報 72
- 70. © STORIA 個人関連情報 本人の同意、取得方法 GL3-7-3-3 ⇒明示的な方法による同意取得が求められる 同意取得の方法としては、様々な方法があるが、例えば、本人から同意する旨を示した書面 や電子メールを受領する方法、確認欄へのチェックを求める方法がある。ウェブサイト上で 同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足り ず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらな ければならない。 ①提供先における同意取得の記載例(A社→B社でB社が同意取得) 「当社は、以下の個人関連情報取扱事業者(※提供元の範囲や属性を示すことは「望まし い」)から、Cookie等の端末識別子を通して収集されたウェブサイト閲覧履歴(※対象とな る個人関連情報の特定を要する)を取得し、当社が保有するお客様の個人データに付加した うえで、当社が、当社サービスに関する広告配信の目的(※利用目的を同時に示すことが 「望ましい」)で利用することに同意するものとします。」 ②提供元における同意代行取得の記載例(A社→B社でA社が同意代行取得) 「当社は、当社サービスにおいてCookie等の端末識別子を通して収集されたウェブサイト閲 覧履歴(※対象となる個人関連情報の特定を要する) (以下「個人関連情報」といいま す。)をB社(※提供先の第三者を個別明示を要する)に提供し、B社はB社が保有するB社 のお客様の個人データに付加したうえで、個人関連情報を広告配信の目的で利用します。B 社のお客様は、B社に対して、B社が個人関連情報を当社から取得することについて同意する ものとします。」 78
- 73. ご質問は下記まで STORIA法律事務所東京オフィス 弁護士 杉浦 健二 Mail k-sugiura@storialaw.jp URL https://storialaw.jp kenjisugiura01 各種オンライン相談、チャットツール対応 TEL 03-6711-5160 〒100-0004 東京都千代田区大手町1-6-1大手町ビル6階 (地下鉄大手町駅直結) 81
- 74. 82