実務Q&A
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

データの利活用時にプライバシー情報を取り扱う際の同意の要否および留意点

IT・情報セキュリティ

当社は、AI開発の学習用データセットとして、プライバシー情報(個人に関する情報)を利用したいと考えています。この場合、「同意」の取得についてはどのように考えるべきでしょうか。

データの利活用時にプライバシー情報(個人に関する情報)を取り扱う場合、一般的には、まず、個人情報保護法の適用が問題になります。主には①取得、②利用、③第三者提供の際の「同意」の要否について、法令やガイドラインの検討が必要でしょう。また、プライバシー情報の中には、本人の意図せぬ取得や公開等がプライバシー侵害や肖像権侵害等を構成し得るものもありますので、裁判例の分析等の実施が重要になるでしょう。

解説

目次

  1. 個人情報の取扱い
    1. 「取得」の際の同意の要否
    2. 「利用」の際の同意の要否
    3. 「第三者提供」の際の同意の要否
  2. プライバシー・肖像権侵害
  3. おわりに

個人情報の取扱い

 プライバシー情報(個人に関する情報)を取り扱う場合、一般的には、まず、個人情報保護法の適用が問題になることが少なくありません。以下、個人情報保護法による規制のすべてをカバーできるわけではありませんが、実務上問題になることが少なくない①取得、②利用、③第三者提供の際の「同意」に関連する規律を説明します。

「取得」の際の同意の要否

 実務上は、個人情報を取得する際には本人の同意が必要であるとの誤解も少なくありませんが、個人情報保護法は、原則として、取得の際の本人同意を必要としておらず、利用目的の通知または公表を求めているに留まります(個人情報保護法18条1項および2項)。ただし、要配慮個人情報(個人情報保護法2条3項)を取得する際には、本人の同意が必要ですので(同法17条2項)、注意が必要です。また、たとえば、金融分野ガイドライン 1 における「機微情報」等、個別分野のガイドラインにおいて、取得の際の同意が必要な対象が拡張されている場合もあるため、これらの確認が重要です。

 なお、想定するスキーム上、要配慮個人情報の第三者提供がなされる場合、①データの提供元(提供者)は、原則として、第三者提供に関する同意を取得する必要があり(個人情保護法23条1項)、かつ、②データの提供先(受領者)は、要配慮個人情報の取得に関する同意を本人から得る必要があり(個人情報保護法17条2項)、結果、関係者は、2種類の同意を本人から得ておく必要があります。

 このうち、②の同意について、個人情報保護委員会は「個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第2項及び法第23条第1項に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該個人情報取扱事業者が、改めて本人から法第17条第2項に基づく同意を得る必要はないものと解される」(通則編3−3−2(7)2)としています。
 もっとも、提供元と提供先が別個の事業者であり本来は提供先が要配慮個人情報に関する同意の取得義務者であることに照らせば、個人情報の利用状況等を勘案のうえで、より安全を見て、提供元による同意取得に際して、提供先を代行して同意取得することを明示する等の対応をとることも一考に値すると思われます。

 いずれにせよ、実務上は、スキーム構築の段階で、この点を意識したうえで、当事者間の協議や関連する規約やプライバシーポリシー等の作成を進めることが重要です。

「利用」の際の同意の要否

 個人情報取扱事業者は、特定された利用目的の範囲を超えて個人情報を取り扱うことができず(個人情報保護法16条1項)、その範囲を超える場合には、本人の同意が必要です(同項)。もっとも、変更前の利用目的と関連性を有すると合理的に認められる範囲では、利用目的が変更できますので(個人情報保護法15条2項)、想定する利用方法を含む形で利用目的を変更できるのであれば、結果として、本人からの同意取得は不要です。また、統計情報や匿名加工情報の作成は、利用目的に記載がなくとも実施可能です。

 ただし、実務上は、利用目的の変更が、個人情報保護法上許容される態様で実施可能か疑念が生じる場合があります。たとえば、収集当時は想定していなかったものの、現在保持するデータを機械学習目的に利用したいなどの場合が典型です。利用目的の変更では対応できないのであれば、リスク低減のため、本人から同意取得が必要な場合もあるでしょうが、対象となるデータが大量の場合にはその実施が困難なことも少なくないでしょう。

 この点、令和2年度改正個人情報保護法では、「仮名加工情報」(改正個人情報保護法2条9項所定の措置を講じて、他の情報と照合しない限り特定の個人を識別することができないように加工した情報)が利用可能になります。
 仮名加工情報には、変更の際の利用目的の関連性を要求する個人情報保護法15条2項 3 は適用されません(改正個人情報保護法35条の2第9項)。よって、たとえば、収集の際には機械学習への利用を想定していなかったデータであっても、利用目的を適切に変更することにより適法に機械学習に用いることができます。また、要配慮個人情報を含む個人情報を加工して仮名加工情報を作成することも可能です(Q&A14-7)。そのため、その全面施行日令和4年(2022年)4月1日以降にはその活用も検討に値するでしょう。
 ただし、仮名加工情報には、個人情報に該当するか否かを問わず 4第三者への提供禁止義務(改正個人情報保護法35条の2第6項、同法35条の3第1項)、本人の識別行為禁止義務(同法35条の2第7項、同法35条の3第3項)、連絡先その他の情報を用いた本人への接触等禁止義務(同法35条の2第8項、同法35条の3第3項)などが課せられています。特に第三者への提供は本人の同意がある場合でも禁止されるため、注意が必要です(Q&A 5 14-17)。なお、委託・事業の承継・共同利用(個人情報保護法23条5項)等の規律の適用は受けることができます(Q&A14-18)。

「第三者提供」の際の同意の要否

(1)国内にある第三者への提供

 個人データの第三者提供の際には、原則として、本人の同意が必要となり(個人情報保護法23条1項)、また、記録義務や確認義務(個人情報保護法25条および26条)等のいわゆるトレーサビリティに関する規制がおよびます。

実務上は、同意取得を前提にしたうえで、ビジネスを組み立てることもありますが、たとえば、オプトアウト手続を取る場合(個人情報保護法23条2項)や、委託、事業の承継、共同利用等の「第三者」への提供に該当しない場合(個人情報保護法23条5項)その他の法令上認められている場合、解釈上「提供」行為がない等の場合にあたるとして、同意を必要としない建付けを採用することも少なくありません。

(2)外国にある第三者への提供(個人情報保護法24条)

 個人情報保護法上、外国にある第三者への個人データの提供については、たとえば、当該第三者がEUや英国にある場合やその他個人情報保護法上認められた例外的な場合6 を除いて、当該移転外国にある第三者への移転について、本人からの同意が必要です(個人情報保護法24条。なお、この同意の取得に関しては、委託・事業の承継・共同利用では免れることができません)。

 そして、令和2年改正個人情報保護法では、同意による提供に際して、個人情報保護委員会規則で定めるところにより、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない(改正個人情報保護法24条2項)とされています。これを受けて、次の具体的な提供事項が改正規則11条の3第2項に列挙されています。

  1. 当該外国の名称
  2. 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
  3. 当該第三者が講ずる個人情報の保護のための措置に関する情報

 なお、改正規則11条の3第3項は、上記①外国の名称が特定できない場合には、特定できない旨およびその理由を説明するとともに上記①および②に代わる「本人に参考となるべき情報」がある場合には当該情報を提供することで、①および②の提供に代えることができる旨定めています。その具体例として、外国にある第三者への提供編5-3-1-(2) 7 では、「本人の同意を得ようとする時点において、移転先となる外国の候補が具体的に定まっている場合における当該候補となる外国の名称」が「本人に参考となるべき情報」にあたる旨説明されています。

 また、改正規則11条の3第4項は、③についても情報提供ができない場合には、その旨およびその理由について情報提供しなければならないと定めています。

 そのため、外国へのデータ移転が想定される場合には、上記ルールに応じたプライバシーポリシーの改訂等が必要になるでしょう。

(3)個人関連情報の第三者提供(改正個人情報保護法26条の2)

 令和2年改正個人情報保護法の下では、「個人関連情報」の概念が新設されました。「個人関連情報」は、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報に該当しないもの」(改正個人情報保護法26条の2第1項)を意味し、その具体例としては、Cookie等により収集された個人のウェブサイト閲覧履歴、購買・サービス利用履歴、位置情報等があります。もっとも、あくまでも、個人情報に該当しない場合に個人関連情報になりますので、まずは個人情報該当性の判断が必要であって、これらがいかなる場合にも個人関連情報に該当するわけではありません。

 個人関連情報取扱事業者は、個人関連情報を第三者に対して提供する際、その第三者がこれを「個人データとして取得する」ことが、当該時点において(Q&A8-4)、想定されるとき 8 には、国内において第三者提供をする場合には、当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていることを確認する必要があります(改正個人情報保護法26条の2第1項) 9 。そして、この方法は個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とされています(改正規則18条の2第1項)。

 つまり、提供者にとって、個人データに該当しない場合であっても、提供先において個人データに該当する場合には本人からの同意取得が必要です。特に、個人関連情報には、個人データと異なり、委託、事業の承継、共同利用による例外の適用はありませんので(確認的に説明するものとしてQ&A8-9)、同意取得を前提としたスキームの構築が重要になります。その際の注意点は次のとおりです。

  • 第三者提供に関する本人の同意は提供先が取得義務を負いますが、提供元による同意の代行取得も可能です(通則編3-7-3-2)。
  • 提供先による同意取得の有無の確認は、複数の「本人」につき一括して確認することが可能であるため、たとえば提供先から同意を確認した複数の本人のIDのリストの提供を受け、当該リストを元に提供元から個人関連情報の提供をするとの対応もできます(Q&A8-11)。
  • すでに取得を確認した本人の同意については再度確認は不要ですが、過去の同意の範疇を超える情報取得がある場合には、確認が必要になります。たとえば、ウェブサイト閲覧履歴の取得について本人から包括的に同意を得ており、かつその取得を提供元が確認している場合であっても、これに含まれない商品購買履歴の取得については、本人同意が得られていることの確認が必要になります(Q&A8-12)。

 なお、個人関連情報を取扱う場合、取扱わない場合のいずれについても、契約による対応が重要になることが想定されます

 第1に、上記規制は「個人データとして取得する」場合が対象のため、契約等により、提供先の第三者が提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常「個人データとして取得する」ことが想定されません(通則編3-7-2-3)。そのため、このような場合にはその旨契約に明記することも一案でしょう。ただし、契約違反等があった場合には原則に立ち返り「個人データとして取得する」か否かの確認が必要になります(Q&A8-7)。

 第2に、仮に、「個人データとして取得する」場合には、本人の同意を得ていることを確認した提供元において、提供記録の作成が必要ですが、「本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した」場合には、この記録として、提供先と提供元または本人と提供元との間の契約書を利用することができます(改正規則18条の3および通則編3-7-5-2-3)。この点、個人情報保護委員会は、次のとおり説明しています(Q&A8-13)。

基本契約に基づき個人関連情報を提供する場合、基本契約に係る契約書及びこれに付帯する資料等をもって記録とすることもできます。例えば、提供の開始時に、提供する個人関連情報の項目、個人関連情報の提供期間の初日、提供先の第三者の名称・住所・代表者氏名を契約書に記載しておき、その後、提供期間の終了後に、個人関連情報の提供期間の末日、本人の同意が得られていることを確認した旨(同意取得の方法を含む。)を付帯資料に記載する、といった方法で記録義務を履行することも可能です。この場合に、契約書及び付帯資料について、施行規則第18条の3第3項の要件を満たす場合には、最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間、当該記録を保存すれば足りることとなります(施行規則第18条の5第1号)。

プライバシー・肖像権侵害

 プライバシー情報(個人に関する情報)の中には、本人の意図せぬ取得や公開等がプライバシー侵害や肖像権侵害等を構成し得るものもありますが、その利用が違法になるか(そのため、違法性阻却事由として本人の明示の同意が必要になるか)はケースバイケースですので、裁判例の分析等の実施が重要になるでしょう。

おわりに

 以上を踏まえると、次のとおりです。

  • データの利活用時にプライバシー情報(個人に関する情報)を取り扱う場合、一般的には、まず、個人情報保護法の適用が問題になる。主には①取得、②利用、③第三者提供の際の「同意」について考える必要がある。もっとも、いかなる場合にも同意が必要となるわけではないため、個人情報保護法および各種ガイドラインの確認が重要である。

  • プライバシー情報の中には、本人の意図せぬ取得や公開等がプライバシー侵害や肖像権侵害等を構成し得るものもあるが、具体的な事案における帰結を検討する際には、裁判例の分析等の実施が重要になる。

  1. 個人情報保護委員会、金融庁「金融分野における個人情報保護に関するガイドライン」(平成29年2月) ↩︎

  2. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、令和3年8月一部改正) ↩︎

  3. さらには漏えい等の報告および本人通知に関する改正個人情報保護法22条の2や保有個人データに関する同法27条から34条までの各規定も適用されません。 ↩︎

  4. 仮名加工情報には「個人情報に該当する仮名加工情報」と「個人情報に該当しない仮名加工情報」があり、前者の取扱いは改正個人情報保護法35条の2により、後者の取扱いは同法35条の3により、それぞれ規律されます。 ↩︎

  5. 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(平成29年2月16日、令和3年9月10日更新) ↩︎

  6. 個人情報保護委員会、金融庁「金融分野における個人情報保護に関するガイドライン」(平成29年2月) ↩︎

  7. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年11月、令和3年8月一部改正) ↩︎

  8. ただし、個人関連情報のうち、個人関連情報データベース等を構成する情報に限ります(改正個人情報保護法26条の2第1項)。 ↩︎

  9. 外国にある第三者への提供に関しても制限がありますが、本稿では割愛します。 ↩︎

この続きを読む
松下 外弁護士

西村あさひ法律事務所

  • IT・情報セキュリティ
  • 知的財産権・エンタメ
  • 国際取引・海外進出
  • 訴訟・争訟
  • ベンチャー
弁護士(日本・ニューヨーク州)。2006年東京⼯業⼤学⼯学部情報⼯学科卒業(機械学習を研究)、2009年東京⼤学法科⼤学院修了、2016年⽶国New York University School of Law修了(LL.M. in IBRLA)。シンガポール・ニューヨークの法律事務所での勤務経験を有する。2017年6⽉より理研AIPセンター客員研究員、同年12⽉より経済産業省「AI・データ契約ガイドライン検討会作業部会」構成員。2018年7⽉よりSIAC Users Council構成員。近時の著作として『ガイドブックAI・データビジネスの契約実務』(共著・商事法務、2020)。主たる取扱分野は、知的財産法、AI・IoT・データ、訴訟・国際仲裁、アジア法務。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
松下 外弁護士