CHAPTER 03. 個人関連情報

今回は個人関連情報の第三者提供規制について議論していきたいと思います。個人関連情報の第三者提供規制は、従前の個人情報の定義や、いわゆる提供元基準説（個人データの第三者提供における「個人データ」該当性について、提供元を基準に判断する考え方）を前提にしつつ、個人データの第三者提供規制では対応できない、新たな問題状況に対応するものとして創設されました。個人データの第三者提供規制と個人関連情報の第三者提供規制の関係を整理するため、弊事務所弁護士によるNBLの連載記事（※1）から表を抜粋します。下記表の３は、従前個人データの第三者提供規制でカバーできていなかった領域ですが、これを個人関連情報の第三者提供規制で対応したと説明できます。

この表をみると分かるように、あるデータを提供するときに、それが提供元において個人データであるか個人関連情報であるかによって規制のあり方が変わり、提供元においてどちらかに該当するのかを確定することが重要になります。実際の事案を検討する際にも、このような頭の整理が役立つのではないかと思いますが、改正法対応での経験を踏まえて説明をお願いできますでしょうか。

令和２年改正法対応では、新たに創設された個人関連情報の規制の注目度は高く、多くのご相談をいただきましたが、検討してみると、個人関連情報の提供の問題ではなく、個人データの提供や委託の問題として整理されることもありました。事案の検討の順序であれば、個人関連情報の定義が「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」ですので、まず個人情報かどうかを確定するのが先になります。例えば、ユーザーのデータを突合する際には、CookieID、広告ID、メールアドレス、電話番号などがキーとして用いられますが、それぞれの事業者で個人情報となっているのか、個人情報ではなく個人関連情報なのかという点は注意して検討する必要があります。

ある情報が個人情報ですか、個人関連情報ですかというご質問をいただくこともありますが、事案ごとに個別に確認していく必要がありますよね。

個人関連情報の第三者提供規制は、本人の権利利益の保護の観点から、今まで規制をかけていなかった箇所に規制を加えたと認識していますが、逆は考慮してくれないのだろうか、と思うことがあります。要は、提供元基準では法的には個人データ提供に該当してしまうけれども、明らかに本人の権利利益侵害リスクが低いケースです。例えば、不審なメールの添付ファイルを開いてしまってマルウェアに感染したので被害拡大防止のためにメールを第三者に共有するケースを想定すると、メールの中に従業員の氏名やメールアドレス等が含まれていると、その部分だけ黒塗りにしても、提供元基準からすると個人データの提供になってしまいますよね。こうした形式的な個人データについては、こんなものに何で規制をかける必要があるんだと心の中で呪詛を唱えながら、個人情報・個人データに該当するかどうかとか、27条1項の例外に当たるかどうかとか色んな理屈を考えることになるのですが、何とかならないのでしょうか。

そのあたりは悩ましいですよね。提供先の状況が分からない以上、提供元で個人データであれば提供してはならないという考え方も成り立つ反面、確かに保護の必要性が低いものについても過度に規制されてしまうという側面があります。蔦弁護士の挙げた事例については、現状では27条１項各号の例外事由の検討において、情報の内容を加味して柔軟な解釈を導くほかないかなと思います。

さて、話を戻しておさらいにはなりますが、嶋村弁護士、個人情報該当性の検討のポイントの説明をお願いできますでしょうか。

それ単体で特定の個人を識別できるか（単体識別性）、他の情報と容易に照合することができ、それにより特定の個人を識別することができるか（容易照合性）の双方を区別してきちんと検討することが必要です。もちろん、個人識別符号に該当しないかということも別途検討する必要があります。

メールアドレスを例に説明しますと、例えば、メールアドレスに「naoto shimamura」という氏名を表す文字列が入っていれば、個人情報に該当します。また、メールアドレスに氏名を表す文字列が入っていなくとも、容易照合性の観点から個人情報になることがあります。例えば、ある事業者が氏名や住所等を含む顧客情報の一部としてメールアドレスを保有していれば、メールアドレスも個人情報となります。

そうすると、メールアドレスが個人情報とならず個人関連情報となるのは、メールアドレスを構成する文字列に氏名等が含まれていないなど単体識別性がなく、かつ氏名等の顧客情報も保有していないなど容易照合性の観点からも特定の個人を識別できない場合となりますね。

そうですね。例えば、メールアドレスと任意に設定したパスワードだけで登録できるウェブサービスもありますが、この場合には基本的に単体識別性が問題になるので、登録したメールアドレスに氏名が含まれていれば個人情報、氏名が含まれていなければ個人関連情報ということになりますね。ただ、こうしたサービスでも、ユーザー数が増えれば増えるほど、実際に登録されたユーザーのメールアドレスをふるいにかけて個人情報かどうか区別するのが難しくなります。担当者がメールアドレスを１つ１つみて個人情報か個人関連情報かを判断するというのも現実的ではないでしょう。

データベースの中に存在する個人情報を検出するようなサービスもあり、例えば判決文のマスキングや仮名加工情報作成への活用が期待されているようですが、メールアドレスから個人情報を検出して区別しているという話は聞かないですよね。実際に区別するとしても、データベースや判決文なら、ある情報が氏名なのかどうかは、文脈も頼りに判別することもできそうですが、メールアドレスには文脈がないですし、珍しい名前や外国人の名前まで判別できない場合もあるかもしれません。

職場のメールアドレスは比較的フルネームが入っていることが多いのではないかと思います。他方で、プライベートで利用しているフリーのメールアドレスにはフルネームを含めていないことも多いかと思います。

実務上の論点としては、この事例のメールアドレスのような、個人関連情報になり得るものも含めて、メールアドレスを一律に個人情報として整理することが許容されるのかという論点がありますが、このあたりの見解はいかがでしょうか。

パブリックコメントの回答（※2）では、「事業者は、個人情報に該当するか否かを判断し、個人情報に該当する情報については、個人情報の取扱いに適用される規律に従って取り扱う必要がありますが、改正後の法第26条の2（注：改正後の個人情報保護法31条）に従って取り扱う必要はありません。」とされており、必ずしも明確なスタンスは示されていないですね。ただ、もともと個人情報の規制の対象にならない領域を個人関連情報の規制でカバーしようとしたという経緯からすれば、個人情報に寄せて整理することは規制の潜脱にはならないのではないでしょうか。また、グローバルに展開している企業では、共通のポリシーなどを策定して個人情報の定義をグローバルに統一する場合もありますが、そうするとメールアドレスなども個人情報として扱うという運用になり、これ自体は合理的であるように思います。

個人情報保護委員会のQAの1-4では、「メールアドレスだけでも個人情報に該当しますか。」という質問に対して、「メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合（例：kojin_ichiro@example.com）、当該メールアドレスは、それ自体が単独で、個人情報に該当します。これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります」と回答されています。後段の容易照合性の話はよくわかるのですが、前段の単独での特定個人識別性の話は、そもそも妥当なのかという問題が本来あると思います。特にGDPRに慣れ親しんだ外国のクライアントや弁護士にこのQAを説明しようとしてもなかなか理解してもらえないところがあります。

このあたりは、個人情報保護法が何を保護しようとしているのか、ということにも関係する深淵な議論になってしまい、理論的な興味は尽きないのですが、実務上は、先程北山弁護士が言っていたとおり、一つ一つのアドレスで区別するのが実務上現実的ではないので、メールアドレスは個人情報として一律扱う方が良いと思っています。

いろいろな見方がありますが、メールアドレスを通じて名寄せができてしまうということはポイントになるかと思います。私たちは、日頃数多くのウェブサービスを利用していますが、登録の際には、メールアドレスとパスワードの組み合わせが求められます。サービスによっては、氏名や住所の入力を求めないものの、メールアドレスの入力は求められる場合もあります。ユーザーIDとしてメールアドレスを登録する事例を想起すれば、メールアドレスはまさに私たちを識別する記号として使われているような側面があり、それは社会生活において個人を他人から識別して特定する機能を有する氏名と同じ役割を果たしているのではないかと思います。

確かにメールアドレスにはそういう側面がありますね。私も生活する中でいろいろなウェブサービスにメールアドレスを登録していますが、漏えいした場合のセキュリティリスクの観点から、サービスによっては、あまり使っていないメールアドレス（転送用アドレスを含む）で登録したり、エイリアスを使ったりします。一応解説すると、エイリアスというのは要はメールアドレスのあだ名みたいなものです。例えば、メールアドレスの「@」の前の文字列は自分で決めることが大半だと思いますが、サービスによっては、ドット（.）をつけても、「+」を付けてその後何を入力しても、同じアドレスとして扱われたりします。今の例だと、具体的には「tsuta@....」というアドレスなら、「tsu.ta@...」としても、「tsuta+MHM@...」としても同じアドレスとしてメールが届くということです。ただ、それでもやはり重複は生じますし、実際のところ、私のようなケースはむしろ特殊で、ほとんど同じメールアドレスで複数のサイトに登録している方もいると思います。そうすると、このメールアドレスをキーにすることで、サイト横断でデータを統合することができてしまいます。現にCookie規制が厳しくなる中で、ハッシュ化したメールアドレスでユーザーのデータを統合するという話もでてきていますよね。

現行法の個人情報の解釈は、平成15年の当初法の解釈を踏襲していますが、メールアドレスの位置づけは、変わってきているかもしれないですね。

そうですね。もう１つ例を挙げると、携帯電話番号の例がありますね。現行法の解釈としては、携帯電話番号は単体で個人情報に該当することはないのですが、メールアドレスと同様の視点で捉えると、かなり特定個人の識別性が高いですよね。携帯電話番号ポータビリティの制度がかなり普及していることもあって、多くの人は何年もずっと同じ携帯電話番号を持ち続けると思います。しかも、携帯電話番号はいろいろなサービスで登録すると思われますし、ワンタイムパスワードをSMSで受け取るために携帯電話番号を登録するケースも増えていると思いますので、これをキーとする名寄せはできますよね。

こういう話をしていて思い出すのが、個人識別符号の議論ですね。個人識別符号が創設された平成27年改正当時の議論では、携帯電話番号が個人識別符号に該当しないかという議論がありました。結局、「様々な契約形態や運用実態があり、およそいかなる場合においても特定の個人を識別することができるとは限らない」（「個人情報の保護に関する法律についてのガイドライン」に関するQ＆A（以下「QA」という）1-25）という理由で個人識別符号該当性は否定されています。他には携帯電話番号を利活用するということも考慮されたようには思いますが、個人識別符号と整理してもおかしくはないと思います。

現行法では、個人識別符号に民間事業者が付番した番号・符号は含まないという整理がされていますが、将来的には議論がありそうですね。個人関連情報の第三者提供規制の本丸であったCookieも個人識別符号にするという解決策もあり得たところです。こうした個人情報の定義は、やはり外国の法制度にも目配せしていく必要があるかもしれません。田中弁護士、外国での議論の状況はいかがでしょうか。

たとえば、GDPRでは、「個人データ」は、識別された、または識別可能な自然人（データ主体）に関するあらゆる情報をいう（GDPR4条1号）とされ、幅広い情報が個人データに該当することになっており、メールアドレスや電話番号やCookieに紐付いて収集される情報も単体で個人データに該当するものとして扱われているかと思います。なお、Cookie等の利用については、GDPRの特則として位置づけられる、eプライバシー指令に基づく各国法により厳格に必須なものを除いて、同意が必要ということになっています。カリフォルニア州のCCPAでも、「直接的に又は間接的に、特定の消費者又は世帯を、識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報」との広い定義が採用されています。そして、個人情報の類型として、「識別子」が挙げられており、「識別子」には、例えば、実名、別名、住所、一意個人識別子、オンライン識別子であるインターネット･プロトコル･アドレス、電子メール･アドレス、アカウント･ネーム、社会保険番号、運転免許証番号、旅券番号、又はその他の類似の識別子が含まれるとされています。グローバルにみても、比較的新しい規制の場合には、個人データ／個人情報の定義は広めにする傾向にあると思います。

こうしてみると、やはり日本では個人情報該当性という入り口の問題に焦点があたってきた経緯がよくわかりますね。そのような経緯を踏まえて、令和２年改正法では、個人情報の規制でカバーできないところを個人関連情報という別の形でカバーしたということですね。もっとも、別の形にしたが故に、規制がかえって複雑になっているきらいもありますね。いずれにしても、まず保護の範囲を広く取った上で、その性質に応じた対応を行っていくという対応は合理的であり、現行法の解釈・運用としても意識していくべきではないかと思います。個人情報保護法の議論をしていると、個人情報該当性、要配慮個人情報該当性という入り口の議論にどうしても注力しがちですが、個人情報でない、あるいは要配慮個人情報でないとしても、プライバシーの観点から一定の保護を及ぼすべきということあります。立法論としても、今後個人情報保護法がどこまでの範囲に保護を及ぼしていくかということは検討課題だと思います。

個人情報保護法も過去の立法の経緯を踏襲しつつ、新たに生じた問題に法改正で対応してきてきましたが、どこかでよりドラスティックな転換が必要になるのかもしれません。現実の問題の対処に当たっても、そうした大局的な視点をもっておくことは有益ですね。

続いて、「提供」の概念について議論していきたいと思います。個人関連情報の第三者提供規制は、「提供」という行為に適用されるため、この概念が重要になってきます。すなわち、事業者間での提供行為があれば、それは個人関連情報の第三者提供規制が問題となり得ますが、他方で本人から直接取得しているということであれば、第三者提供規制は問題となりません。

直接取得か第三者提供かという論点は、令和２年改正法以前でも、個人データの第三者提供時の確認記録義務の観点から問題になることがありました。この確認記録義務というのは、実務的に諸々の障害になることが多いのですが、例えばA社からB社に提供されるということではなくて、A社からいったん本人が取得し、本人がB社に提供しているということだとすると、第三者提供にはならず確認記録義務がかからないということになります。しかし、このような構成を採用する際には、やはり実態が伴っている必要があり、規制の潜脱とならないかきちんと検討することが必要です。今回、個人関連情報の第三者提供規制が創設されたことで、同様の論点がより顕在化したのではないかと思います。

確かにもともと提供元では個人情報にならない情報は規制の対象外ということで、個人情報保護法の観点からはあまり気にしていなかったということはあるかもしれません。

個人関連情報の第三者提供規制との関係でよく問題となるのは、A社のウェブサイトにソーシャルプラグイン等のタグを設置してB社に情報を送信させる場合です。この場合に、ウェブサイトを管理するA社からB社への提供行為とみるのか、あるいはB社によるユーザーからの直接取得とみるのか、という問題があります。QA8-10では、A社がB社のタグにより収集される情報を取り扱っているかどうかを基準としています。この見解は、平成30年のソーシャルプラグインに関する行政指導の事案以来採用されていた解釈を明文化したものですが、当時個情委に出向していた北山弁護士から背景の説明をお願いできますでしょうか。

当時も直接取得なのか、第三者提供なのかということは相当議論がありました。その中で、解釈の決め手となったのは、ソーシャルプラグインを設置する側の事業者は、実際にはデータの中身に触れていないということでした。小川弁護士の例でいえば、A社は、いわば、自社のウェブサイト上に、B社がデータを取得するための窓を設けてあげるだけで、B社は、その窓を通してデータを取得する一方で、A社は、その窓を通るデータに触れることはなく、その中身に関知しないという前提がありました。当時、「提供」とは、やはり自らが一旦手元で物理的に保有した後に、第三者に渡すという行為を念頭においていたので、A社がその中身が分かっておらず、触れもしないデータを提供しているというのはなかなか観念しにくいだろうと。データを取得するための手段であるソーシャルプラグインを設置しているのは他ならぬA社だという点を重視して、「提供」とすべきだという整理もあり得るとは思いましたが、他にも様々な考慮があって、結局、Q8-10 のような結論となりました。もっとも、当時の解釈は、個人関連情報の第三者提供規制まで念頭に置いたものではなく、今後も議論されるべき論点と思っています。

個人情報保護法は、個人情報の取扱いを規律の対象としていますので、個人情報に触れていない、中身が分からないという事業者に規律をかけられるかという発想にはなりますね。他方で、個人情報に直接触れないとしても、ソーシャルプラグインを設置するという行為は行っている訳ですから、こうした関与をどう考えるのかという問題はありそうです。

GDPRでは、共同管理者（joint controllers）という概念があり、「複数の管理者が共同して処理の目的および手段を決定する場合、これらの者は共同管理者とする」と規定されています（GDPR26条）。Fashion ID事件（※1）では、個人データの収集と提供の局面において、ウェブサイト運営者が、ソーシャルプラグインを提供するSNS運営事業者とともに、共同管理者に該当すると判示されており、「ソーシャルメディアユーザーのターゲティングに関するガイドライン」（Guidelines 08/2020 on the targeting of social media users）にも同様の趣旨の記載があります。日本法にはそもそも管理者と処理者という区別はなく、また共同管理者という概念もありませんが、これらの考え方からすれば、ソーシャルプラグインを設置したウェブサイト運営者について、個人情報または個人関連情報を取り扱っているものとして、一定の規律を及ぼすことはあり得るように思います。

GDPRの共同管理者の考え方は議論の参考になりそうですね。日本法でも似た問題意識は既にあり、例えばQA7-36は、A社がB社にアンケート調査の実施と統計情報の作成を依頼し、A社はアンケート調査の結果のみ受領するという事例が挙げられています。この場合、「調査を依頼した事業者が一切個人データの取扱いに関与しない場合」には、A社は個人情報を取扱っておらず、委託もしていないとされています。他方で、「調査を依頼した事業者が当該個人データの内容を確認できる場合」、「契約上、調査を依頼した事業者に個人データの取扱いに関する権限が付与されている場合」、「外部事業者における個人データの取扱いについて制限が設けられている場合」には個人データの取扱いの委託をしているとされます。

QA7-36は事例ベースでの記載になっていることもあり、他の事案でどこまで援用できるか判断が難しいですが、日本法でも個人情報に直接触れていなくとも、規律の対象となる場面はありそうですね。確かに、A社がB社にアンケート調査を指示しており、これを契機に個人情報の収集が始まっているので、B社だけではなく、A社も規律するというのは実態に即しているかもしれないですね。

A社も規律していくべきという方向性は理解できますし、あとはどのような場合に規律するかということですね。話をQA8-10に戻しますと、結局何が個人関連情報の「取扱い」なのかということがポイントとなります。「取扱い」の有無は、実際のデータに触れているかということのみならず、契約等によって定められる権限も加味して判断されますが、QA8-10の事例は現状どのように理解していますでしょうか。

一般的な理解としては、QA8-10を根拠にユーザーからB社が直接取得すると構成する場合が結構多いような気がします。「A社がB社のタグにより収集される情報を取り扱っている」というのをどれだけ広く読むのかが問題となりますが、これは例外的なケースだと狭く読んで、原則論に従うと直接取得だと考えていることが多いと思われます。QAも原則は直接取得であるとしているように読めますので、これが素直な考え方でしょう。しかし、仮に、たとえば、先程話題に出たGDPRのFashion ID事件の共同管理者の考え方のように規範的な評価を取込んで、この「A社がB社のタグにより収集される情報を取り扱っている」というのを広く読んでいくとすれば、むしろ、「提供」にあたる場合が原則になっていくことになります。

ここは、今後もまだ議論がありそうなところなので、要注意ですね。

現状はQA8-10で個人情報保護法の守備範囲が狭まっているという見方もできますよね。今月（2022年6月）成立した改正電気通信事業法では、利用者情報の外部送信に関する規律が設けられました（改正電気通信事業法27条の12）。こちらの規律の内容は、条文そのままだとかなりややこしいのでデフォルメしますが、要は、一部の電気通信サービス提供者が、利用者に対し、「端末に保存している利用者情報を外部送信するように」という指令を行う場合には、その利用者情報の内容等について、通知・公表等する必要があるというものです。今日の議論との関連では、外部への「送信」の「指令」とあるとおり、「提供」という概念が使われていない点がポイントとなり得ます。つまり、外部送信の指令を行った事業者がその情報を保有しているかどうかや「取扱い」の有無は無関係と解することもできそうですね。もともと利用者の意思によらずに外部の第三者に利用者情報が送信されることは問題視されていたのであって、このような問題意識は個人情報保護法と電気通信事業法とで共通するところもあるように思います。改正電気通信事業法の利用者情報の外部送信に関する規律については、現在、「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」において、下位規則等の検討も進んでいるようですので、具体的な規律の内容や、この規律が適用される事業者の範囲等に留意する必要があります。適用範囲によっては、実務上かなり影響が大きい規律となる可能性があります。

さて、最後に個情法改正の対応でも質問の多かった、アクセス解析ツールの利用と個人関連情報の第三者提供規制について議論したいと思います。ここでは、NBLの連載記事でも取り上げた以下の事例を抜粋します。

この事例では、まずどのような点がポイントになりますでしょうか。

まず、大きな論点としては、①一次的な情報の取得主体がA社とB社のどちらとなるかということがあります。後ほど議論したいと思いますが、取得主体をB社とすると、その次の過程でA社がB社の情報にアクセスして確認できるようにすれば、B社からA社への提供に該当します。そして、②B社からA社への提供に該当することを前提に、A社において個人データとなるか、③個人データとなる場合に、ユーザーの同意が必要かというあたりが論点になります。また、④対象となる個人関連情報がデータベース化されているかという点も論点になります。

それぞれの論点について順次議論していきたいと思います。まず、①一次的な情報の取得主体がA社とB社のどちらであるかという点についてはどうでしょうか。

この論点も、先ほどの論点と同じように「取扱い」の考え方によるところがありますが、QA8-10の整理を前提にすると、ユーザーがA社のウェブサイトにアクセスした際にB社のサーバーに情報が送信されるという仕組みですので、基本的にはユーザーからB社が一次取得することになります。他方、A社での取扱いがあり、A社からB社に送信（提供）しているという整理をしようとするのであれば、A社がB社のサービスを導入した上で、自社のウェブサイトにトラッキングコードを設置するという関与をしている点に着目するのだと思いますが、現行のQ&A8-10からやや離れた考え方になりそうです。

B社が一次取得するという前提で、その後のフローを検討してみたいと思います。収集した個々の情報から、B社がA社のウェブサイトにおけるユーザーの全体的な動向をまとめて、A社に提供するということであれば、統計情報の提供として、規制はかかりません。他方で、B社において取得したA社のウェブサイト内での行動履歴等の個人関連情報をA社が保有する個人データと紐付ける場合であれば、個人関連情報の第三者提供規制の適用が問題になりそうです。

確かにその場合、データフローとしては、B社がA社に個人関連情報を第三者提供し、A社において個人関連情報を個人データに結びつけることになり、「個人データとして取得する」になってしまうようにも思われます。

ただ、A社としては、アクセス解析ツールを利用して、ユーザーの個人情報を取得しようとしており、その過程でいったんB社に個人関連情報の形で一次取得してもらっているともいえます。もともとA社が自社で取得できる情報をたまたまB社の方でいったん取得してもらうだけであると。そうすると、A社がB社に個人データの取得の委託を行い、B社がA社に代わって情報取得をしているものと整理できます。このように考えると、B社からA社への提供行為は個人データの委託の一環として行われるもので、個人関連情報の第三者提供規制は適用されないといえます。

確かにこの事例では、自社では取得できないデータを提供してもらって、データをいわばリッチにする事例でもなく、個人データの取得の委託と整理するのが妥当ですね。ただ委託と構成する以上、いわゆる「混ぜるな危険」も含め、個人データの委託に関する規律を遵守する必要がありますね。

そもそも個人関連情報の第三者提供規制は、個人関連情報が個人関連情報データベース等を構成する場合に限って適用されますが、④対象となる個人関連情報がデータベース化されているかという点はどうでしょうか。

もちろんケースバイケースの判断になりますが、個人関連情報の提供は、データベースとしてまとまったものを第三者提供することが大半でしょうから、この要件だけで規制の適用がないと判断できるケースはそう多くないように思います。この事例でA社からB社への委託ではないという前提に立った場合、普通に考えれば、B社において一定のIDでユーザーのデータを識別しているでしょうから、データベース化していないとは言いにくいだろうと思います。

個人関連情報データベース等の概念は、個人情報データベース等に平仄を合わせる形で規定されていますが、個人情報データベース等以上にイメージしにくく判断が難しいですね。ただ、相場感として、この要件でいろいろなものを提供規制の対象外にできるという感じではなさそうですね。

今議論した内容は、アクセス解析ツールに関する１つの整理であり、もちろん事案によって異なる整理もあるでしょう。議論した内容をまとめますと、上記の事例では、B社からA社への提供が問題となりますが、ユーザーの全体的な動向の把握であれば、統計情報の提供になり、規制の対象外となります。また、ユーザーID等をキーとして解析ツールで取得された情報と自社のもつ顧客データとの紐付けを行う場合には、個人データの取得の委託と整理でき、本人の同意は不要となります。もっとも、解析ツールで取得された情報をもともとB社が保有する個人データや個人関連情報と突合して広告配信に利用する、といった場合は、本人の同意取得が必要になるので、留意が必要ですね。

そろそろお時間となりました。本日の対談では、改正法の解釈・運用のみならず、これまでの立法の経緯や今後の方向性も議論することができました。個人関連情報の規制を検討する際には、複雑なデータフローの分析が必要になることもありますが、規制の位置づけや趣旨に立ち戻った検討も重要なのではないかと思います。本日はありがとうございました。