【著作権】平成30年法改正:(4)
2017年5月に現行の個人情報保護法が施行され,その附則第12条で,施行後3年を目途に改正について検討するとされていました。
それに従った見直しで,2020年6月5日,改正個人情報保護法が成立しました。
改正法の施行日は,公布日から2年以内の日とされています。
改正の内容は多岐にわたりますが,今回は,就活サイトで問題となったクッキーの提供に関する改正部分について紹介します。
オンライン識別子(cookie)
前に閲覧したことのあるウェブサイトにアクセスしたら、以前の入力や設定がそのままになっていることがありますね。
これは、アクセスしたサイトの方から、PCやスマートフォンなどにcookie(識別子)を送信しています。
ブラウザは送信されたcookieを一定期間保存していますので、サイトの方でcookieを照合して端末を識別することができるのです。
しかし、cookieで識別できるのは端末(ブラウザ)までで、ブラウザを使っている人を識別することはできません。
そのため、cookieで識別される限りの情報は個人情報保護法の「個人情報」に該当せず、法の規制は及びませんでした。
「この法律において『個人情報』とは,生存する個人に関する情報であって,・・・特定の個人を識別することができるもの・・・をいう。」
「内定辞退率」提供事件
ある就活サイトが、採用側の企業に「内定辞退率」を提供していたという事件がありました。
就活生の閲覧履歴などから「内定辞退率」を計算して、cookieと一緒に採用側に渡していたという事件です。
cookieは個人を特定しないから、個人情報保護法の規制外ではありました。
しかし、就活生はエントリーシートを登録するために採用側の企業サイトに必ずアクセスします。
ですから、採用側の企業では提供されたcookieを使って個人を特定できることになります。
データの提供先で個人データに該当することが想定されても、提供元で個人データに該当しなければ個人情報保護法の規制がかからないというところに問題がありそうです。
「個人関連情報」の導入
そのため、2020年改正法では、生存する個人に関する情報であるけれども、個人を特定できず個人情報に該当しないものを、「個人関連情報」と命名しました。
さきほどの「内定辞退率」などは、提供元ではだれのデータか分からないため、「個人関連情報」に該当しそうです。
この個人関連情報を含んだ情報をデータベース化している事業者が、個人関連情報を第三者に提供しようとする場合、提供先が個人データとして取得することが想定されるのであれば、あらかじめ情報主体から提供先が同意を得ていることを確認しなければ、個人関連情報を提供できない、ということになりました(改正法第26条の2)。
「内定辞退率」と一緒にcookieを提供するということは、当然、それが誰の内定辞退率なのか、提供先で個人を識別することを前提にしていると言えます。
こういう場合は、採用側の企業で、あらかじめ就活生から「あなたの内定辞退率を取得します」ということについて同意を得ておく必要がある、ということになります。
きびしい規制がされていると言われるEUのGDPR(一般データ保護規則)では、そもそもcookie自体が個人データとして取扱われていると言われます。
そうなると、だまってcookieを利用して閲覧履歴をデータベース化すると問題になるでしょう。
日本の個人情報保護法も,将来はそういう方向に進むかもしれません。
今回の改正法については施行日までにガイドラインが整備されるそうですから,要チェックです。