個人情報保護法の改正により、事業者側の責務も新たに追加され、改正に応じた対策が必要となってきています。今回は、個人情報取扱事業者が守るべきルールのポイントをおさらいした上で、EC事業者が取扱いの際に注意を要する要配慮個人情報および匿名加工情報について、解説していきます。

個人情報取扱事業者が守るべきルールのポイント

個人情報取扱事業者が守るべきルールとしては、大きく分けて「取得・利用」「保管・管理」「第三者提供」「開示請求等への対応」という4つのポイントに分けられます。
「取得・利用」のルールでは、個人情報を取り扱う際に、その利用目的をできる限り具体的に特定し、その目的を達成するために必要な範囲内でのみ個人情報を取り扱い、個人情報は適正な方法で取得する必要があります。

「保管・管理」のルールでは、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる必要があります。これは個人データの安全管理措置に関わるものです。

「第三者提供」のルールでは、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供することが禁止されています。

「開示請求等への対応」のルールでは、本人から、本人が識別される保有個人データの開示を求められた場合には、本人に対し、遅滞なく、保有個人データを開示しなければならないと定められています。

では、上記4つの守るべきルールを踏まえたうえで、EC事業者がその取扱いに注意を要する要配慮個人情報および匿名加工情報について見ていきましょう。

「要配慮個人情報」の枠組み

個人情報保護法において、一般的な個人情報とは「生存する個人に関する情報」であって、「氏名や生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。）」、又は「個人識別符号が含まれるもの」と定義されています。一方で、要配慮個人情報は、個人情報のなかでも偏見や差別につながりうるセンシティブなものになります。要配慮個人情報が新設された背景には、改正前の個人情報保護法では、何が個人情報に該当するのか、第三者提供はどこまで許容されるのかなど、個人情報の定義や取扱いに関するグレーゾーンが存在しており、要配慮個人情報に該当する機微な個人情報を不正入手するなどの事件が相次いだことを受け、その取扱いに関して厳格化する必要性があったためです。

要配慮個人情報とはどのような情報か？

「要配慮個人情報」とは、その扱いによって、損失や不当な差別、偏見が発生しないように、取扱いに特に配慮が必要な個人情報をいいます。社会的身分、信条、人種、病歴、犯罪歴、犯罪被害歴、心身の障害、健康診断結果、治療歴、刑事手続歴等が該当します。

通常の個人情報と扱いが異なる点

通常、個人情報の取得には、本人の同意は必要とされていません。しかし、要配慮個人情報は、情報そのものが、とても繊細で、慎重な取り扱いが必要な情報です。そのため、個人情報保護法２０条２項によれば、原則として、取得する際に本人の同意が必要とされています。

また、個人情報保護法２７条２項により、必要な手続を行うことで、事前に本人の同意を得ることなく、個人データを他事業者に提供することができるオプトアウトという制度がありますが、要配慮個人情報は、この制度の対象外とされています。要配慮個人情報は、通常の個人情報よりも、漏えいや不正利用などの事故を起こしてしまった場合、その個人に深刻な被害をもたらす可能性があります。

したがって、要配慮個人情報は可能な限り取得しないことを基本とし、取得が不可欠な場合でも、「事前同意の取得」と「オプトアウトの禁止」といったルールを厳守することが重要です。

「匿名加工情報」の枠組み

個人情報保護法では、「匿名加工情報」という枠組みを設けて、加工した情報を第三者に提供する場合に、本人の同意は不要としています。これは、ビッグデータの活用を促進する意味合いも含め、平成２９年施行の個人法保護法で新設されたものです。

匿名加工情報とはどのような情報か？

個人情報保護法２条６項により「匿名加工情報」とは、個人情報を一定の方式に則って加工し、特定の個人を識別することができず、当該個人情報を復元することができないようにしたものです。このようにして加工された匿名加工情報は、特定の個人を識別できないため、個人情報ではなく「匿名加工情報」となります。

個人情報を匿名加工情報として加工する方法

匿名加工情報を作成する事業者は、個人情報を適切に加工する必要があります。匿名加工情報を加工する際には、特定の個人を判別することや、その作成に用いるオリジナルである個人情報自体の復元をすることができないようにしなければなりません。施行規則３４条によると、次の5つが情報を加工する方法として想定されています。

①特定の個人を識別できる記述等の全部又は一部を削除（置換を含みます。以下、同じ。）
②個人識別符号（マイナンバー・運転免許証番号など）の全部を削除
③個人情報と他の情報を相互に連結する符号（ユーザーＩＤ等）の削除
④特異な記述（その情報があることで本人が特定できてしまうようなもの）等の削除
⑤個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること

匿名加工情報取扱事業者の義務

個人情報保護法では、匿名加工情報を作成する個人情報取扱事業者及び匿名加工情報データベース等を事業の用に供している「匿名加工情報取扱事業者」につき、遵守すべき義務を規定しています。特に、匿名加工情報データベース等を事業の用に供している「匿名加工情報取扱事業者」が負う義務としては、次のように定められています。

①匿名加工情報を第三者提供するときは、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければなりません。
②匿名加工情報を利用するときは、元の個人情報に係る本人を識別する目的で、加工方法等の情報を取得し、又は他の情報と照合することを行うことが禁止されています。
③匿名加工情報の適正な取扱いを確保するため、安全管理措置、苦情の処理などの措置を自主的に講じて、その内容を公表するよう努めなければなりません。

匿名加工情報を第三者に提供する際の注意点

匿名加工情報では、個人データの第三者提供のような本人の同意は必要とされていませんが、第三者に渡す場合には、個人情報保護法４３条４項の通り、以下の情報を、公表しなければなりません。

• 提供する匿名加工情報に含まれる個人に関する情報の項目
• 匿名加工情報を第三者へ提供する方法

そして、提供先に対して、その情報が匿名加工情報である旨を電子メールを送信する方法又は書面を交付する方法等、その他適切な方法で明示しなければなりません。

まとめ

個人情報保護法は、個人情報の漏えいや不正利用から個人の権利や利益を守るため、事業者が守るべき共通のルールを定めたものとなります。個人情報を取り扱う事業者としては、今後も繰り返される個人情保護法の改正に対応するため、どのような義務が新たに課せられているのか、どのような対応を取るべきなのか正しく理解しておくことが大切になります。個人情報保護委員会では、中小企業向けに「自己点検チェックリスト」も公開していますので、こちらを利用して自社の状況をチェックしてみるのも良いでしょう。

https://www.ppc.go.jp/files/pdf/Self_assessment_checklist.pdf

そして、要配慮個人情報や匿名加工情報を取り扱う際には、個人情報保護法の内容やガイドライン等にも注意したうえで、適切に対応できる体制を整えていきましょう。その他注意が必要な点や不明点などのご相談はお気軽にお問合せください。

弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。

執筆者：弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所

※本稿の記載内容は、2023年9月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。