「個人関連情報」とは、簡単にいえばCookie情報や閲覧履歴、位置情報など、それ単体では特定の個人を識別できない情報のことです。
2022年(令和4年)4月施行の改正個人情報保護法で新たに定義され(法2条7項)、特に第三者提供時のルールが設けられました。
この記事では、個人関連情報の定義や具体例、個人情報との違い、第三者提供時に必要な対応について解説します。
個人関連情報とは
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの」をいいます。
つまり、ある個人に関係する情報ではあるものの、その情報だけでは「誰の情報か」を特定できないものが個人関連情報です。
個人関連情報の具体例
個人関連情報に該当する主な情報は以下のとおりです。(これらに限られるものではありません)
| 分類 | 具体例 |
|---|---|
| Cookie情報 | ウェブサイト訪問時に付与されるID |
| 閲覧履歴 | ウェブサイトの閲覧ページ、閲覧日時など |
| 購買履歴 | 購入商品、購入日時、購入金額(氏名等と紐づいていない場合に限る) |
| 位置情報 | GPS等から取得した移動履歴 ※ただし、連続的に蓄積されるなどにより、特定の個人を識別できるような場合は個人情報です |
| 端末情報 | 広告ID、IPアドレス |
| 興味関心データ | 推定された趣味嗜好、属性情報 |
| 年齢・性別 | 氏名等と紐づいていない場合 |
ただし、これらの情報であっても、氏名やメールアドレスなどと紐づいて特定の個人を識別できる状態になっている場合は「個人情報」に該当します。
例えば、会員IDと紐づけて管理されている購買履歴は、会員情報から個人を特定できるため個人情報となります。
(「個人情報とは?」もご参照ください)
個人関連情報と個人情報の違い
個人関連情報とは個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものですが、個人関連情報と個人情報の最大の違いは「特定の個人を識別できるかどうか」です。
簡単にまとめると次のとおりです。
| 項目 | 個人情報 | 個人関連情報 |
|---|---|---|
| 定義 | 特定の個人を識別できる情報 | 個人に関する情報だが、単体では個人を識別できない |
| 具体例 | 氏名、メールアドレス、顔写真 | Cookie、閲覧履歴、位置情報 |
| 取得時の同意 | 不要 (ただし利用目的の通知・公表は必要) | 不要 |
| 利用目的の特定 | 必要 | 原則なし (※個人情報/個人データとして扱う場合は別) |
| 第三者提供時の同意 | 原則として必要(※個人データの第三者提供) | 原則不要(ただし例外あり) |
個人関連情報は、それ単体では個人情報保護法の多くの規制対象外です。
ただし、第三者に提供され、提供先で個人データと紐づけられる形で利用される場合には、特別なルールが適用されます。
個人関連情報に適用されるルール
個人関連情報は、自社内での取得・利用には原則として特別なルールがありません。
ただし、第三者に提供する場合で、提供先が個人データとして取得することが想定されるときは、以下の対応が必要です(法31条)
a) 本人の同意
以下の条件をすべて満たす場合、提供先があらかじめ本人の同意を得なければなりません。
- 提供元が個人関連情報データベース等を事業で利用している
- 提供先が、受け取った個人関連情報を自社の個人データと紐づけて利用する(ことが想定される)
ここでいう「個人データとして取得することが想定される」とは、提供元が実際に想定している場合だけでなく、一般人の認識を基準として通常想定できる場合も含みます。
なお、「想定される」というのは、例えば次のようなケースです。
| ケース | 具体例 |
|---|---|
| 提供元が明示的に説明している | 「貴社が保有するデータとメールアドレスで紐付けて利用可能です」と案内 |
| 紐付け用のIDを併せて提供する | 「関連付けられるようにID情報も併せて提供します」と説明 |
| 提供先の事業から見て明らか | 提供先がDMP事業者であり、個人データとの紐付けが通常想定される |
b) 同意の取得と確認
個人関連情報を第三者に提供するときは、提供元である事業者は、その提供に関して本人の同意が得られていることを確認しなければなりません。
なお、同意取得は原則として提供先が行います。これは、個人関連情報の第三者提供ルールは提供先が個人データを保有していることが前提であり、本人との接点を持っているのが通常だからです。(逆に、提供元は個人関連情報のみを保有している場合は個人を識別できないため、接点がない場合も想定されます)
ただ、提供元が代行することも解釈上認められています。
そのため、例えば広告配信などにおける「カスタマーマッチ」を行うことを想定しているのであれば、その旨および提供先の明示も含めて提供元が本人の同意を得る方がスムーズであるともいえます。
c) 確認・記録義務
個人関連情報を第三者提供する場合は、個人データの第三者提供と同様に確認・記録義務があります。
提供元は、
- 提供先が個人データとして取得することを認める本人の同意が得られていること
を確認するとともに、
- 本人の同意が得られていることを確認した旨
- 個人関連情報を提供した年月日
- 提供先の名称、住所、代表者氏名
- 個人関連情報の項目
について記録し、基本的に3年間保存しなければなりません。
また、提供先は、
- 提供元の名称、住所
を確認するとともに、
- 本人の同意を得られている旨
- 提供元の名称、住所、代表者氏名
- 本人の氏名など、個人データによって識別される本人を特定することができる事項
- 提供を受けた個人関連情報の項目
について記録し、基本的に3年間(契約書等の代替手段による方法により記録を作成した場合は1年間)保存しなければなりません。
プライバシーポリシーへの記載
個人関連情報を第三者に提供する場合や、第三者から受け取って個人データと紐づける場合は、プライバシーポリシーへの記載を検討すべきです。
例えば次のような項目です。
- 取得する個人関連情報の種類(Cookie、閲覧履歴等)
- 個人関連情報の利用目的(広告配信、アクセス解析等)
- 第三者提供の有無と提供先の種類
- 個人データとの紐付けの有無
- 同意取得の方法
特にウェブサイトでGoogle Analyticsなどのアクセス解析Cookieや広告タグ等を導入している場合は、Cookie同意バナーの設置と併せて個人関連情報についても記したプライバシーポリシーの整備を検討することをおすすめします。
※ なおGoogle Analyticsの利用規約により、利用している場合はその旨を明示する必要があります
関連記事:Cookie同意バナーを作る上で気をつけたいポイント
まとめ
以上の通り、個人関連情報とは個人情報よりは取り扱いのルールが少ないともいえますが、ただ個人情報とは違うルールについては注意が必要ですので、最後にポイントを整理します。
- 個人関連情報とは:Cookie・閲覧履歴・位置情報など、単体では特定の個人を識別できない情報
- 自社内での利用:原則として個人情報保護法の規制対象外
- 第三者提供時のルール:提供先で個人データと紐づけられる場合は、本人同意が必要
- 提供元の義務:提供先が同意を得ていることを確認し、記録を保存する
- プライバシーポリシー:第三者提供や個人データとの紐付けを行う場合は記載を検討すべき
個人関連情報の取扱いやプライバシーポリシーの記載についてご不明な点があれば、お気軽にご相談ください。
ビーンズ行政書士事務所 代表 行政書士/情報処理安全確保支援士(登録セキスペ)/個人情報保護士
法律とセキュリティの両方の国家資格を持つ、国内でも数少ないプライバシーポリシー専門の行政書士です。ECサイト、SaaS、マッチングサービス、製造業など幅広い業種のプライバシーポリシーを10年以上にわたり作成・見直ししてきました。テンプレートの使い回しではなく、貴社の実際の運用に合ったポリシーをゼロから設計します。
「うちのポリシー、これで大丈夫?」と思ったら、お気軽にご相談ください!
▶ お問い合わせ
