個人情報保護法で定義されている個人情報に関する概念として、生存する個人に関する情報ではあるものの、個人情報や匿名加工情報、仮名加工情報ではない情報があります。
それが「個人関連情報」と呼ばれるもので、2022年(令和4年)4月1日から施行された改正個人情報保護法で定義されました(法2条7項)。
例えば、年齢や商品購入履歴、Cookie情報や位置情報などが該当します。
(※これらの情報であっても、個人を識別することができるものであれば個人情報に該当します)
これらの情報は、個人を識別することができない情報であるため、基本的にはどのように利用しても個人情報保護の観点では問題がないのですが、ただ他の情報と紐付けることで個人データとして利用することができる場合に、何もルールがない状態というのも望ましくありません。
個人関連情報に適用されるルール
個人関連情報については、原則として取得や利用に関するルールはありません。
ただし、個人関連情報データベース等(特定の個人関連情報を検索することができるように体系的に構成したもの)を事業で利用している事業者は、個人関連情報データベース等を構成する個人関連情報を第三者に提供する場合において、提供先である第三者がその個人関連情報を「個人データとして取得することが想定される場合」には、提供先が予め本人の同意を得なければならず、また提供元である事業者は、提供先が同意を得ていることを確認しなければなりません(法31条)。
「個人データとして取得する」というのは、本来個人を識別することができない情報である個人関連情報ですが、提供先が持っている情報と紐付けることで個人を識別することができれば、それは個人データですので、何もルールを課さないというわけにはいきません。
また、「想定される場合」というのは、提供先が個人データとして取得することを提供元が想定している場合、または一般人の認識を基準として個人データとして取得することを通常想定することができる場合を指します。
よって、例えば提供元が提供先に対して
- 私どもが提供する情報(個人関連情報)は、貴社が保有しているデータとメールアドレスによって紐付けて利用することが可能です
- 貴社が保有する情報と関連付けられるようにID情報も併せて提供します
といった説明をしているような場合は、「個人データとして取得することが想定される場合」に該当しますので、提供先による本人同意と、その同意を得ていることを提供元が確認する必要があります。
なお、本人の同意については、提供先が取得することが基本ですが、提供元がその同意取得を代行することも可能です。
確認・記録義務
個人関連情報を第三者提供する場合は、個人データの第三者提供と同様に確認・記録義務がありますので注意が必要です。
提供元は、
- 提供先が個人データとして取得することを認める本人の同意が得られていること
を確認するとともに、
- 本人の同意が得られていることを確認した旨
- 個人関連情報を提供した年月日
- 提供先の名称、住所、代表者氏名
- 個人関連情報の項目
について記録し、基本的に3年間保存しなければなりません。
また、提供先は、
- 提供元の名称、住所
を確認するとともに、
- 本人の同意を得られている旨
- 提供元の名称、住所、代表者氏名
- 本人の氏名など、個人データによって識別される本人を特定することができる事項
- 提供を受けた個人関連情報の項目
について記録し、基本的に3年間保存しなければなりません。
