Cookieと改正個人情報保護法の関係
話題となっているCookieについて、改正個人情報保護法でどのように扱いが変わるのだろうか。
基本的にCookieは、それだけで生存している個人を識別できるわけではない。「氏名等の情報と一体となって、個人情報に該当することがある」と解釈されている。そのため個人データでないCookieに関しては、「規制の適用がない」といえる。ただ、CookieIDに紐付く住所や氏名などのデータを既に持っており、そのなかからCookieIDだけを別の事業者に渡し、Web閲覧履歴や趣味嗜好といったデータを持ってきて突合させて戻してもらうということについては注意が必要だ。改正の発端となったリクナビ事件がそうした使い方をして、就職活動中の学生の内定辞退率を弾き出し、学生を不利な状況にしたからだ。
今回の改正でCookieは、個人情報や仮名加工情報、匿名加工情報のいずれにも該当しない「個人関連情報」として定義されており、(1)個人関連情報を持っている「提供元」が、(2)実際に情報を渡す提供先が、「個人関連情報を個人データとして取得することが想定されるとき」は、(3)一定の事項を確認しなければ、提供先に個人関連情報を提供してはいけない、と規制されている。「言い換えると、閲覧履歴や趣味嗜好などのサードパーティデータを持つ事業者が、会員ユーザーなど個人情報を持つWebサイト運営会社から依頼を受けた場合、『取得した個人情報と、趣味嗜好のデータを突合して利用すると、あらかじめ本人から同意を取っているか』と事前に確認しなければ、データを渡してはいけないということです」と阿久津弁護士は説明する。
個人情報を提供する側、される側、ともに本人から同意を取っておき、個人関連情報を渡す際には「同意を取っている」という確認を行い、そこで初めて個人関連情報を提供する。そして一連のやり取りの記録を取っておく必要があるという。
データの加工次第で活用の幅が広がる?
最後に阿久津弁護士は、データ加工の概要について説明した。
これまでも特定の個人を識別できない「匿名加工情報」というものはあったが、今回の改正法では、新たに他の情報と突合しない限り特定の個人を識別できない「仮名加工情報」が加わった。匿名加工情報は個人情報に該当しないという扱いであるのに対し、仮名加工情報は、利用目的の変更はできるものの、第三者提供は原則禁止という扱いだ。個人情報であれば利用目的の変更はできないが、仮名加工情報だと利用の幅は広がる。「どんな目的で何をしたいのかを整理したうえで、加工した情報をうまく活用することが求められます」と阿久津弁護士は説明する。
なお、加工の仕方については法律で定められている。「加工前にどのような加工の要素があるのかを確認したうえで、加工の基準を正確に把握しましょう」と阿久津弁護士はアドバイスする。
改正個人情報保護法は、データの活用を制限するものではなく、「適切に扱う」点にフォーカスしたものだ。詳しくはガイドラインやQ&Aを参照し、適正にデータの利活用を進めるよう、企業の倫理観が求められている。
