【動画公開】提供元基準説と個人関連情報規制をめぐる個人情報保護法解釈

第三者提供規制、提供元基準説、容易照合性、個人関連情報規制は、個人情報保護法実務において重要な論点である。個人データの提供に該当するかどうかは提供先ではなく提供元を基準に判断される。本記事では、提供元基準説の基本構造、リクナビ問題との関係、個人関連情報規制創設の背景を解説する。

動画解説

本記事で解説する内容は、以下の動画でも視聴できる。

提供元基準説とは何か

提供元基準説とは、個人データの提供に該当するかどうかを、提供先ではなく提供元の立場から判断する考え方である。

個人情報保護法では、個人データの第三者提供にさまざまな規制が設けられている。そして、その前提として「何が個人データの提供に当たるのか」という解釈が問題となる。

この点について、当局である個人情報保護委員会の解釈としては、提供元基準説が採用されている。すなわち、提供元において個人データに該当する情報を外部へ提供する場合、その提供は個人データの提供として取り扱われる。

個人データ提供の判断基準と提供元基準説

よくあるデータ提供の事例

例えば、大学や企業が「ID・氏名・成績」の情報を保有しているとする。

分析目的の提供先は氏名を必要とせず、「IDと成績」だけの提供を求める場合がある。

この場合、提供先では当該IDが誰を指すのか分からない。そのため、多くの担当者は「個人データの提供ではない」と考えがちである。

しかし、これは間違いである。このようなデータ提供は、個人データの提供に該当し、個人情報保護法上の規制に服するのである。

なぜ個人データ提供に該当するのか

提供元基準説では、提供先ではなく提供元における個人データ該当性を基準として判断する。

提供元はIDと氏名の対応表を保有している。そのため、IDから対象者を容易に特定できる。

したがって、IDと成績のみのデータであっても、提供元においては特定の個人と結び付けることが可能であり、個人データとして評価される。

そして、提供元にとって個人データであるところのIDと成績データを外部へ提供する行為は、個人データの提供に該当する。なぜならば、提供元にとって個人データに該当するデータを提供すれば、それは個人データの提供に該当するという提供元基準説に基づくとそうなるからである。

なお、例ではIDと成績のみのデータを示したが、何もIDに限るものではなく、提供元にとって個人データに該当するものであれば、IDを含まないデータであっても、個人データの提供に該当する。

容易照合性と個人データ該当性

容易照合性とは何か

容易照合性とは、ある情報単体では特定の個人を識別できなくても、他の情報と容易に照合することで特定の個人を識別できる状態をいう。

個人情報保護法における個人情報該当性を判断する際の重要概念である。

IDデータが個人データになる理由

ID単体では通常は特定の個人を識別できない。

しかし、組織内部に氏名との対応表等が存在する場合、そのIDは特定個人との結び付きが維持されている。

その結果、IDと成績という情報も、提供元においては個人データとして扱われることになる。

なお、本記事では「対応表」という記載をしているが、必ずしも対応表を保持する必要はなく、IDから(容易に)特定の個人がわかる状態であれば、個人情報に該当する。

提供元基準説の課題とリクナビ問題

逆パターンではどうなるか

提供元がIDと成績だけしか保有しておらず、提供先が氏名とIDとの対応表を保有している場合を考える。

この場合、提供元においては個人データではないため、提供元基準説だけを前提とすると個人データ提供規制は適用されない。

一方で、提供先では特定の個人を識別できるため、プライバシー保護の観点から問題が残る。

リクナビ問題との関係

リクナビ問題では、学生の内定辞退可能性を予測するサービスが社会問題となった。

この事案を契機として、提供元基準説だけでは十分にカバーできない場面への対応が課題として認識された。

個人関連情報規制が創設された理由

このような課題を踏まえ、2020年改正個人情報保護法では個人関連情報に関する提供規制が創設された。

個人データ提供規制は従来どおり提供元基準説によって判断される。

その一方で、提供元にとっては個人データでなくても、提供先で個人データとして取得されることが想定される場合について、新たな規制枠組みが導入された。

個人関連情報規制は、提供元基準説の限界を補完する制度として理解すると整理しやすい。

実務上のポイント

  • 個人データ提供該当性は提供元基準で判断する。
  • 提供先で特定個人を識別できないことのみを理由に、規制対象外とはならない。
  • 容易照合性の有無を必ず検討する。
  • 個人関連情報規制との関係を確認する。
  • データ連携プロジェクトではデータフロー全体を分析することが極めて重要。社内のみならず社外ステークホルダーにおけるデータフローや個人データ該当性を検討しよう。

本テーマの詳細は動画でも解説している。

Q&A

Q1. 提供情報に氏名が含まれていなければ個人データ提供ではないのか。

そのような理解は誤りである。個人データ提供に該当するかどうかは提供元基準説により判断される。

Q2. 提供先で特定の個人を識別できなければ個人データ提供ではないのか。

そのような理解は正確ではない。個人データ提供に該当するかどうかは提供元基準説により判断される。

Q3. IDのみのデータは必ず非個人データか。

必ずしもそうではない。提供元が対応表等を保有しており、容易照合性が認められる場合には個人データに該当し得る。

Q4. IDのみのデータは必ず個人データか。

必ずしもそうではない。提供元が対応表等を保有しており、容易照合性が認められる場合には個人データに該当し得る。

Q5. 個人関連情報規制はなぜ必要になったのか。

提供元基準説のみでは規制対象とならないデータ連携が存在するためである。リクナビ問題などを背景として制度が整備された。

まとめ

提供元基準説とは、個人データ提供該当性を提供元における個人データ該当性で判断する考え方である。

IDや成績のみのデータであっても、提供元において容易照合性が認められる場合は個人データに該当し得る。

また、提供元基準説の限界を補完する制度として個人関連情報規制が導入されている。

個人情報保護法実務においては、提供先の状態だけではなく、提供元におけるデータの性質と個人情報該当性を分析することが重要である。

執筆者プロフィール

弁護士 水町雅子(第二東京弁護士会、宮内・水町IT法律事務所所属)

SE(ITシステム開発)、コンサルティング等をシンクタンクにて行った後、弁護士登録。内閣官房・特定個人情報保護委員会にてマイナンバーの制度設計、ガイドライン作成、PIA制度化等を行う。
個人情報・ITに関して、首相官邸パーソナルデータに関する検討会参考人、内閣府「マイナンバーの利活用拡大のための検討タスクフォース」委員、こども家庭庁「こどもデータ連携の取組に関する検討会」委員、厚生労働省ITシステム等技術審査委員、東京都東京デジタルサービス会議構成員、東京都足立区情報公開・個人情報保護審議会委員、つくば市プライバシー影響評価制度検討懇話会委員、総務省・経産省・AMED実証事業等の支援等、実績豊富。
マイナンバー、個人情報、AI、医療情報、IT法務、企業法務、行政法務等に対応。書籍・論文執筆・講演のほか、日本経済新聞、朝日新聞、読売新聞、雑誌、TV等メディアコメント多数。

詳細な略歴はこちら