個人情報取扱いにおける事前説明/同意取得の重要性

　昨今、情報解析技術の進化に伴い、消費者行動履歴をはじめとするビックデータ等の利活用のため、取得した個人情報を加工/提供する機会が増加しています。これらの情報を加工して自社利用する、または第三者に提供する際には、特定の個人が識別されないよう個人情報を加工（匿名加工）するとともに、事前に情報提供元に十分な説明を行い、同意を得ることが求められます。

　過去には、日本国内の鉄道会社において、匿名化処理がされた乗降履歴データは個人情報にあたらないという認識の下、利用者の同意なく第三者にデータを提供して問題になった事例があります。本ケースでは、利用者の関心の高い情報を外部に提供するにあたり事前に十分な説明や周知を行わなかったことが問題視されました。その結果、オプトアウト^※1の手段が利用者に周知されてから、1週間で約1万件の申し出がなされています。
　海外においては、Google社が、自社のサービス利用者の各種個人情報を利用した際、個人情報の利用目的を適切に開示していなかったこと、またユーザー側への同意取得に問題があったことを理由として、制裁金5,000万ユーロ（約62億円）が課されたという例もあり、個人情報の取扱いに際しては国内外問わず事前の説明と同意取得が重要であるということが理解できます。

　それでは、企業は今後どのように個人情報の保護と向き合っていくべきでしょうか。
　日本の内閣府傘下の組織である個人情報保護委員会は、事業主が守るべき4つの基本ルールを以下のように示しています^※2。

　海外においては、より厳格な法律が施行されている場合もあり、各国の法律にあわせた見直しが必要となりますが、日本国内においては上記の対応が基本となります。
　上記事項を踏まえ、個人情報の取扱いに関する不要なトラブルを避けるため、企業の対策として同意書やプライバシーポリシーに以下のような内容を盛り込むことが考えられます。

１．提供サービスにおいて取得するパーソナルデータ^※3ごとに、その内容（情報の性質等に関する説明含む）、取得方法、利用目的、利用方法の詳細
２．第三者提供を行う旨及び提供先（の選定条件）に関する事項
３．パーソナルデータの加工方法
４．データの訂正方法・保存期間・廃棄等の管理に関する事項
５．オプトアウト手続き・問い合わせ先に関する事項

　このような同意取得にあたっては、「誰が」「何を」「どのように」利用するのか認識できるようにすることが重要とされています^※4。

　最近は、インターネットショッピングサイト等で利用者のアクセス情報を保存する目的で、オンライン識別子としてCookie（クッキー）が利用されることが多いですが、2020年の個人情報保護法の改正により（施行は2022年4月）、Cookie等の識別子情報の取得/取扱いに関しても注意が必要となります。日本国内においては、これまでCookie情報単体では個人情報にあたらないとされてきましたが、ウェブサイト内の入力フォーム等で入手した個人情報とCookieを紐づけられるのであれば、個人情報として取り扱われることとなります。そのため、得られたCookie情報を自社の個人情報と紐づけて利用する場合には、あらかじめサイト内で必要な説明や同意画面を表示させた上で、利用者から同意を得ることが求められます。

当該個人情報保護法については、3年ごとに検討が行われ、必要に応じて改正されることから、今後も改正の内容に応じて、企業は対応を見直す必要があります。

※1 個人情報等の利用に対して、ユーザーが拒否する意思を示すこと。

※2令和2年12月　個人情報保護法ハンドブックより要約
https://www.ppc.go.jp/files/pdf/kojinjouhou_handbook.pdf

※3 個人情報に加え、個人情報との境界が曖昧なものを含む、個人と関係性が見出される広範囲の情報

※4 個人情報委員会「改正法に関連するガイドライン等の整備に向けた論点について (個人関連情報)」
https://www.ppc.go.jp/files/pdf/210407_kojinkannren.pdf