第三者提供に関する規制が強化された
個人データとなることが想定される個人関連情報の第三者提供が制限された(法第26条の2関係)
- 改正前:なし
- 改正後:提供元では「個人関連情報」であり個人データには該当しないものの、提供先において個人データとなることが想定される情報を第三者提供する場合は、本人の同意が得られていること等の確認が義務となります
[画像クリックで拡大]
解説
ここでは、まず「個人関連情報」について説明します。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものです。この個人関連情報の概念も、今回の改正で新たに登場したものです。該当する事例は、以下のものとされています。
【個人関連情報に該当する事例[※]】
事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
事例2)特定の個人を識別できないメールアドレス(abc_123@example.com等のようにメールアドレス単体で、特定の個人のメールアドレスであることが分からないような場合等)に結び付いた、ある個人の年齢・性別・家族構成等
事例3)ある個人の商品購買履歴・サービス利用履歴
事例4)ある個人の位置情報
事例5)ある個人の興味・関心を示す情報
[※] 個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。
個人関連情報は、技術の進歩により第三者提供の提供先で他の情報と関連付けることによって、個人データとされる可能性が出てきています。本人の関知しないところで個人情報として取り扱われるケースが出てきたことから、その取り扱いを明確にするために出てきた概念と考えられます。
第三者提供の提供先において個人データとなることが想定される情報を第三者提供する場合、本人の同意が必要です。同意取得の方法としては、たとえば、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法等があります。
なお、個人関連情報を第三者提供する場合は、提供元における記録義務があり、本人同意を確認した旨、提供年月日、第三者の氏名等、個人関連情報の項目等を記録し、原則3年保存しなくてはなりません。
