个人情报保护法~「个人情报」とは何か~冲骋痴础法律事务所
- 1. GVA法律事務所 ~教育系ベンチャー企業が知っておくべき法律問題~ 個人情報保護法 ~「個人情報」とは何か~ 2017.05.02 Copyright (C) 2017 GVA Law Office All Rights Reserved.
- 2. 目 次 1. 個人情報保護法とは 2. 具体的検討① 【Eメールアドレス】 3. 具体的検討②【Cookie】 4. 具体的検討③【位置情報】 5. 具体的検討④【人流データ】 6. まとめ Copyright (C) 2017 GVA Law Office All Rights Reserved. 1
- 3. Copyright (C) 2017 GVA Law Office All Rights Reserved. 個人情報保護法とは 2
- 4. 個人情報保護法とは ? 企業等が個人情報等を取り扱う際の義務を規定 企業が取り扱う情報が個人情報等にあたる場合、 個人情報保護法に規定されている義務を履行する必要がある。 →利用目的の特定、通知?公表、安全管理措置、etc... Copyright (C) 2017 GVA Law Office All Rights Reserved. 3
- 5. 個人情報保護法とは ? 企業等が個人情報等を取り扱う際の義務を規定 企業が取り扱う情報が個人情報等にあたる場合、 個人情報保護法に規定されている義務を履行する必要がある。 →利用目的の特定、通知?公表、安全管理措置、etc... ? 個人情報保護法の目的 個人情報は利用のされ方によっては権利侵害の原因になる。 他方で、個人情報の利活用はデータ社会に不可欠なもの! Copyright (C) 2017 GVA Law Office All Rights Reserved. 4 個人の情報に関する権利に配慮しつつ 情報の利用?活用を可能にするための法律と整理
- 6. 個人情報保護法とは ? 各立場の声 ? 個人の声:どのような情報が取られているかも分からないし、 何となく自分の情報を利用される不安がある。 ? 企業の声:どのような情報をどう取り扱えばよいのかが、 明確に整理できずに漠然とした不安がある。 ? 上記のような反応の原因は何か? ? 個人情報保護法で配慮が必要とされる「個人情報」等が、 結局何を意味するのかよく分からないことに端を発する。 ? 怖さを取り払う出発点は??? 「個人情報」とは何かを知ること! Copyright (C) 2017 GVA Law Office All Rights Reserved. 5
- 7. 個人情報保護法とは ? 法律上の定義 Copyright (C) 2017 GVA Law Office All Rights Reserved. 6 ①生存する個人に関する情報であって and ②当該情報に含まれる氏名、生年月日その他の記述等により 特定の個人を識別することができるもの。 (他の情報と容易に照合することができ、それにより特定の個 人を識別することができることとなるものを含む) or ③個人識別符号が含まれるもの
- 8. 個人情報保護法とは ? よく分からないポイント1 ? 特定の個人を識別することができるとは?(特定個人識別性) ?一般人の判断力や理解力で、具体的な人物と情報との間に 同一性を認めることができるかどうか Copyright (C) 2017 GVA Law Office All Rights Reserved. 7
- 9. 個人情報保護法とは ? よく分からないポイント1 ? 特定の個人を識別することができるとは?(特定個人識別性) ?一般人の判断力や理解力で、具体的な人物と情報との間に 同一性を認めることができるかどうか Ex)①ユーザー名、事実に関する判断?評価、画像、音声、... ?特定の個人を識別できれば対象情報の種類は問わない ②GVA中学校3年A組の少年A ?1クラスに複数の男子生徒がいれば特定識別できない ③三浦太郎という氏名 ?複数いるが特定識別できると考えられている Copyright (C) 2017 GVA Law Office All Rights Reserved. 8
- 10. 個人情報保護法とは ? よく分からないポイント2-1 ? 他の情報と容易に照合することができるとは?(容易照合性) ?業務上通常行うことが想定されている方法で 特別な手間をかけずにマッチングできる情報かどうか Copyright (C) 2017 GVA Law Office All Rights Reserved. 9
- 11. 個人情報保護法とは ? よく分からないポイント2-1 ? 他の情報と容易に照合することができるとは?(容易照合性) ?業務上通常行うことが想定されている方法で 特別な手間をかけずにマッチングできる情報かどうか Ex)①ユーザーIDを社内検索すれば氏名が分かるような場合 ?ユーザーIDは個人情報に含まれる ②電話番号を社内で本人確認に利用しているような場合 ?電話番号は個人情報に含まれる ※ITリテラシーの高い者が技術を駆使して照合できる場合や、他 の事業者への照会を要する場合は容易照合性はないと考えられる Copyright (C) 2017 GVA Law Office All Rights Reserved. 10
- 12. ? よく分からないポイント2-2 ? 誰にとって照合するのが容易という問題なのか? ?その情報を保有している事業者自身にとって照合が容易か 一見すると当たり前のことのように見える が、情報を第三者に提供する場面を想定すると??? 「この情報を渡しても誰の情報かまでは分からないだろう」 という考えで情報を扱うのは危険 Copyright (C) 2017 GVA Law Office All Rights Reserved. 11 個人情報保護法とは
- 13. ? よく分からないポイント2-2 ? 誰にとって照合するのが容易という問題なのか? ?その情報を保有している事業者自身にとって照合が容易か 一見すると当たり前のことのように見える が、情報を第三者に提供する場面を想定すると??? 「この情報を渡しても誰の情報かまでは分からないだろう」 という考えで情報を扱うのは危険 仮に情報を提供した先が個人を読み解くことができないとしても 情報を提供する側にとって個人を読み解くことができる場合は 「個人情報」に該当する(提供元を基準に考える) Copyright (C) 2017 GVA Law Office All Rights Reserved. 12 個人情報保護法とは
- 14. 個人情報保護法とは ? よく分からないポイント3 個人識別符号とは?(個人識別符号該当性) ① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した 文字、番号、記号その他の符号であって、当該特定の個人を識別すること ができるもの ?身体の一部の特徴をコンピュータが理解できる形に変換した符号 ② 個人に提供される役務の利用若しくは???商品の購入に関し割り当てら れ、又は個人に発行されるカードその他の書類に記載され????特定の 利用者若しくは購入者又は発行を受ける者を識別することができるもの ?「旅券番号」「運転免許証番号」のような個人に割当てられた記号 ?複雑な規定だが、これらは政令等で明記されている つまり政令等を確認すれば具体的に把握できる Copyright (C) 2017 GVA Law Office All Rights Reserved. 13
- 15. 個人情報保護法とは ? 個人情報該当性の考え方(まとめ) ? 特定個人識別性 → 一般人の判断?理解力で特定可能か ? 容易照合性 → 情報保持者にとって照合が容易か ? 個人識別符号該当性 → 政令等に具体的に明記されているか Copyright (C) 2017 GVA Law Office All Rights Reserved. 14 容易照合性と特定個人識別性の判断基準は異なる。 混同してしまって曖昧になってしまうことに注意!
- 16. Copyright (C) 2017 GVA Law Office All Rights Reserved. 具体的検討① 【Eメールアドレス】 15
- 17. 具体的検討①【Eメールアドレス】 ? 事例1 Copyright (C) 2017 GVA Law Office All Rights Reserved. 16 A社はWeb上で情報を配信するメディアを営んでいる。 A社のサービスを利用するためには、登録時に「氏名」「Eメール アドレス」の情報の入力が必要となっており、Aは、これらのデー タを自社のサーバで保管している。
- 18. 具体的検討①【Eメールアドレス】 ? A社の情報保管体制(パターン1) ?A社が、ユーザーからの取得情報を分離せず、1つのファイル上 で全ての情報を一覧できるように保管していたら… Copyright (C) 2017 GVA Law Office All Rights Reserved. 17
- 19. 具体的検討①【Eメールアドレス】 ? A社の情報保管体制(パターン1) ?A社が、ユーザーからの取得情報を分離せず、1つのファイル上 で全ての情報を一覧できるように保管していたら… Copyright (C) 2017 GVA Law Office All Rights Reserved. 18 当該一覧データによって特定の個人を識別することが可能 当該一覧データは1つの個人情報となる そこに含まれるEメールアドレスは個人情報そのものの一部
- 20. 具体的検討①【Eメールアドレス】 ? A社の情報保管体制(パターン2) ?A社が、氏名情報をIDに転換し、「氏名情報+ID」と「ID+E メールアドレス」を別々のファイルで保存していたら… Copyright (C) 2017 GVA Law Office All Rights Reserved. 19
- 21. 具体的検討①【Eメールアドレス】 ? A社の情報保管体制(パターン2) ?A社が、氏名情報をIDに転換し、「氏名情報+ID」と「ID+E メールアドレス」を別々のファイルで保存していたら… Copyright (C) 2017 GVA Law Office All Rights Reserved. 20 Eメールアドレス自体では特定個人を識別することは不可能 しかしID情報と突き合わせを行えば容易に氏名に到達できる 他の情報と容易に照合して個人を特定することができるため Eメールアドレスは個人情報に含まれる
- 22. Copyright (C) 2017 GVA Law Office All Rights Reserved. 具体的検討② 【Cookie】 21
- 23. 具体的検討②【Cookie】 ? 事例2 Copyright (C) 2017 GVA Law Office All Rights Reserved. 22 B社は、Web上で商品を販売するECサービスを営んでいる。 ユーザーがB社のサービスを利用する際には、「氏名」「住所 (送付先)」「カード番号」の情報を登録する必要がある。 また、ユーザの行動履歴からおすすめの商品をリコメンドするた め、 B社は、 Cookieを用いて商品閲覧履歴や各商品ページでの 滞留時間等の情報を取得し、これを保存していた。
- 24. 具体的検討②【Cookie】 ? B社の情報保管体制 ?B社が、Cookie情報に固有のIDを付して、ユーザーの氏名?住 所情報との突き合わせができる状態で情報を管理していたら… Copyright (C) 2017 GVA Law Office All Rights Reserved. 23
- 25. 具体的検討②【Cookie】 ? B社の情報保管体制 ?B社が、Cookie情報に固有のIDを付して、ユーザーの氏名?住 所情報との突き合わせができる状態で情報を管理していたら… ? Cookie情報は「識別性のない情報だから安心」とは限らない! ?「Cookieは個人情報ではない」とは言い切れない Copyright (C) 2017 GVA Law Office All Rights Reserved. 24 Cookie情報だけでは特定の個人を識別することが不可能 しかしIDと氏名の突合わせを行えば氏名まで到達できる 他の情報と容易に照合して個人を特定することができるため Cookie情報は個人情報に含まれうる
- 26. Copyright (C) 2017 GVA Law Office All Rights Reserved. 具体的検討③ 【位置情報】 25
- 27. 具体的検討③【位置情報】 ? 事例3 Copyright (C) 2017 GVA Law Office All Rights Reserved. 26 C社は、ユーザーの位置情報を利用してユーザーにお勧めの飲食 店をリコメンドするサービスを営んでいる。 ユーザーがC社のサービスを利用する際には、「ユーザーID」「E メールアドレス」の情報を登録する必要がある。 また、C社のサービスではユーザーの位置情報に対して周辺の店 舗情報を配信するため、C社は、ユーザーがサービスを起動する 度にユーザの位置情報を送信してもらい、これを取得していた。
- 28. 具体的検討③【位置情報】 ? C社の情報保管体制 ?C社は、ユーザーのEメールアドレスと、ユーザーの位置情報を 保有しているが、氏名や住所情報などは取得していない Copyright (C) 2017 GVA Law Office All Rights Reserved. 27
- 29. 具体的検討③【位置情報】 ? C社の情報保管体制 ?C社は、ユーザーのEメールアドレスと、ユーザーの位置情報を 保有しているが、氏名や住所情報などは取得していない Copyright (C) 2017 GVA Law Office All Rights Reserved. 28 位置情報やEメールアドレスだけでは特定個人を識別できない C社の他の情報と照合を行っても特定の個人を識別できない C社の取得情報は個人情報に当たらない可能性が高い ただし位置情報の集積によって「プライバシー権侵害」 という別の問題が生じる可能性は残る
- 30. Copyright (C) 2017 GVA Law Office All Rights Reserved. 具体的検討④ 【人流データ】 29
- 31. 具体的検討④【人流データ】 ? 事例4 Copyright (C) 2017 GVA Law Office All Rights Reserved. 30 D社は、人流データを用いた小売支援サービスを営んでいる。 D社のサービスでは、 iBeaconを利用して各スマートフォンを識 別して追跡することが可能であり、店舗の訪問客が、店舗内でど のよう経路をとって移動したか等を把握し分析する。 訪問客はD社のアプリにEメールアドレスを入力してユーザー登録 を行い、店舗のお得情報通知をアプリ上で受け取ることができる 仕様となっている。
- 32. 具体的検討④【人流データ】 ? D社の情報保管体制 ?D社は、iBeaconから訪問客の移動情報は取得しているが、訪問 客の氏名やスマートフォンの所有者情報等は取得していない Copyright (C) 2017 GVA Law Office All Rights Reserved. 31
- 33. 具体的検討④【人流データ】 ? D社の情報保管体制 ?D社は、iBeaconから訪問客の移動情報は取得しているが、訪問 客の氏名やスマートフォンの所有者情報等は取得していない Copyright (C) 2017 GVA Law Office All Rights Reserved. 32 移動経路や滞留時間情報だけでは特定の個人を識別できない D社の他の情報と照合を行っても特定の個人を識別不能 D社の取得情報は個人情報に含まれない ただし人流データを他のアプリ情報等と紐付ける場合には要注意
- 34. Copyright (C) 2017 GVA Law Office All Rights Reserved. まとめ 33
- 35. まとめ ? 個人情報かどうかを判断するには 自社が「どんな情報を取得しているか」を確認するだけでなく 自社が「その情報をどうやって管理しているか」を確認する。 ?情報それ自体の性質だけでは個人情報該当性は判断しきれない ? 重要な考え方「容易に照合できるかどうか」 「自社の情報はどんな情報に紐付いているのか?」 「突き合わせをすれば個人まで特定できるのではないか?」 ?自社の情報保管状態によっては思わぬものが個人情報に含まれる (逆にプライバシーの問題と個人情報を混同している場合も) Copyright (C) 2017 GVA Law Office All Rights Reserved. 34
- 36. 事務所概要 Copyright (C) 2017 GVA Law Office All Rights Reserved. 35
- 37. 事務所名 GVA法律事務所 URL http://gvalaw.jp/ 設立年月日 2012年1月4日 代表弁護士 弁護士山本俊 所属弁護士 弁護士藤江大輔 弁護士森田芳玄 弁護士中村譲 弁護士飛岡依織 弁護士鈴木景 弁護士恩田俊明 弁護士戸田一成 弁護士本間由美子 弁護士重松大介 弁護士渡邉寛人 弁護士小名木俊太郎 弁護士 金子知史 弁護士康潤碩(カンユンソ) 弁護士仲沢勇人 弁護士森田大夢 電話番号 03-6712-7525 E-mail info@gvalaw.jp 所在地 東京都渋谷区恵比寿西一丁目7番7号 EBSビル3階 メンバー 弁護士(海外常駐、弁理士資格?社労士資格保有者含む) 16名 事務局?パラリーガル 6名 業務内容 ベンチャー企業に対する法的支援 IT企業に対する法的支援 アジア進出企業に対する法的支援 上場企業/ベンチャーキャピタル/その他企業に対しての法的支援全般 拠点概要 【自社拠点】 シンガポール、タイ 【提携先】 マレーシア、インドネシア、ベトナム、中国、アメリカ等 Copyright (C) 2017 GVA Law Office All Rights Reserved. 36
- 38. ご相談?お問い合わせ先 メール:こちらのメールフォーム まで TEL:03-6712-7525 Copyright (C) 2017 GVA Law Office All Rights Reserved. 37