SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは

第三者提供に関する規制が強化 システム部門がCookie規制で対応するべき6項目

第3回:第三者提供の制限、共同利用の通知

 前回は、改正個人情報保護法における「仮名加工情報」に焦点を当て、システム部門の役割とあわせて説明しました。 今回は、「第三者提供の制限」「共同利用の通知」を中心に解説します。

第三者提供に関する規制が強化された

個人データとなることが想定される個人関連情報の第三者提供が制限された(法第26条の2関係)

  • 改正前:なし
  • 改正後:提供元では「個人関連情報」であり個人データには該当しないものの、提供先において個人データとなることが想定される情報を第三者提供する場合は、本人の同意が得られていること等の確認が義務となります
個人関連情報の第三者提供の制限
個人関連情報の第三者提供の制限
[画像クリックで拡大]

解説

 ここでは、まず「個人関連情報」について説明します。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものです。この個人関連情報の概念も、今回の改正で新たに登場したものです。該当する事例は、以下のものとされています。

【個人関連情報に該当する事例[※]

事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴

事例2)特定の個人を識別できないメールアドレス(abc_123@example.com等のようにメールアドレス単体で、特定の個人のメールアドレスであることが分からないような場合等)に結び付いた、ある個人の年齢・性別・家族構成等

事例3)ある個人の商品購買履歴・サービス利用履歴

事例4)ある個人の位置情報

事例5)ある個人の興味・関心を示す情報 

[※] 個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。

 個人関連情報は、技術の進歩により第三者提供の提供先で他の情報と関連付けることによって、個人データとされる可能性が出てきています。本人の関知しないところで個人情報として取り扱われるケースが出てきたことから、その取り扱いを明確にするために出てきた概念と考えられます。

 第三者提供の提供先において個人データとなることが想定される情報を第三者提供する場合、本人の同意が必要です。同意取得の方法としては、たとえば、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法等があります。

 なお、個人関連情報を第三者提供する場合は、提供元における記録義務があり、本人同意を確認した旨、提供年月日、第三者の氏名等、個人関連情報の項目等を記録し、原則3年保存しなくてはなりません。

次のページ
Cookie規制において、システム部門が対応するべき6項目

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは連載記事一覧

もっと読む

この記事の著者

戸田 勝之(トダ カツユキ)

NTTデータ先端技術株式会社 セキュリティ事業本部 セキュリティコンサルティング事業部 担当課長 大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。リスクアセスメント、セキュリティ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15250 2021/12/10 11:33

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング