2022-03-03_10h23_09
(画像は個人情報保護法ガイドラインQ8-10より。画像の中の「法第26条の2」は、2022年4月施行法においては「法第31条」となります)

※本記事は2022年4月に施行された改正個人情報保護法に関する記事です。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

先日、個人情報保護法改正&プライバシーマーク新審査基準対応のためのプライバシーマーク担当者勉強会を開催した際、いくつか気づいたことがありましたので、このWebサイト上でも何回かに分けて取り上げたいと思います。

今回取り上げるのは、「WebサイトにGoogleやFacebookのタグを埋め込むことは個人関連情報の提供になるのか」ということです。

2022年4月に施行される改正個人情報保護法第31条では、生存する個人に関する情報ではあるものの、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを「個人関連情報」といいます。

例えば、下記のようなものが個人関連情報にあたります。
・どこの誰かは分からないけれども、ある時間に、あるIPアドレスから、あるWebページを閲覧したという記録
・どこの誰かは分からないけれども、ある時間に、ある人が、ある商品を、ある価格で購入したという記録

この個人関連情報を自社以外の第三者に提供した場合に、提供先において、何らかの方法により個人情報と関連付けることができるという場合には、あらかじめ本人の同意が必要になります。これが「個人関連情報の提供の制限」です。

ちなみにこの場合の本人同意は、原則として提供先が取得することになります。

そうすると、当然こんな風に考えますよね?

・Facebookのいいね!ボックスを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Meta社(Facebook運営会社)に自動的に情報が飛んで、アクセスしたことがFacebookに伝わる。自社ではそれが誰か分からないけれども、Meta社では利用者のアカウント情報と紐づけすることでそれが誰か分かるのだから、これは個人関連情報の提供になるのではないか?

・Googleアナリティクスのタグを自社のWebサイトに埋め込んでいる場合、自社のWebサイトに誰かがアクセスしてきた際に、Google社に自動的に情報が飛んで、アクセスしたことがGoogleに伝わる。Googleはこの情報をGoogleアカウントと紐づけているのかどうか明確にはしていないけれども、紐づけている場合にはGoogle社ではそれが誰なのか分かるのだから、これは個人関連情報の提供になる可能性があるのではないか?

実際、私はそのように思っていました。

これに関して、個人情報保護委員会がまとめている個人情報保護法ガイドラインのQ8-10を見て、驚きました!


Q8−10 A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じて A社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A 社は B 社にユーザーの閲覧履歴を提供したことになりますか。
→はい。まさにそういう時のことを知りたかったのです

個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 26 条の2(原文ママ、正しくは法第31条)第1項は適用されないと考えられます。
→Facebookのいいね!ボックスや、Googleアナリティックスのタグを埋め込んだとしても、自社ではそのタグで収集される閲覧履歴は取り扱うわけではないので、その先、Meta社やGoogle社がユーザーIDを紐づけしていたとしても、していないとしても、自社からの個人関連情報の提供にはならない!

ということが分かりました!

「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

(私のコメント)
このQ&Aを見た時、かなり衝撃が走りました。

また、新しい情報が入りましたら、皆様にシェアいたしますね。