display_monitor_computer
1.日経のプライバシーポリシーが改正される
日本経済新聞社から最近来たメールによると、令和2年・令和3年に改正された個人情報保護法が今年4月1日から施行されることを受けて、同社のプライバシーポリシー(日経IDプライバシーポリシー)が4月1日に改正されるとのことです。ところがこの改正後の日経IDプライバシーポリシーをざっと見たところ、個人情報保護法的に突っ込みどころが満載で驚いてしまいました。

・(改正後)日経IDプライバシーポリシー|日本経済新聞

2.Cookie、IPアドレスおよびサイト閲覧履歴などは個人情報ではない?
(1)個人情報と個人関連情報
第一に、改正後の日経IDプライバシーポリシー(以下「本プライバシーポリシー」とする)の「はじめに」を読むと、日経新聞が取扱う情報を4つ(あるいは3つ)に分類するようです。

日経プライバシーポリシー1
(「(改正後)日経IDプライバシーポリシー」より)

つまり、まず情報を①氏名、住所、職業などの「お客様登録情報」、②Cookie、サイト閲覧履歴、IPアドレス、OSなどの環境情報などの「ご利用履歴情報」の2つに分類しています。

日経プライバシーポリシー3
(「(改正後)日経IDプライバシーポリシー」より)

そしてさらに、②のご利用履歴情報について、お客様登録情報と関連付けて収集するか否かで場合分けし、③「お客様登録情報と関連付けて収集するご利用履歴情報」と、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の2つに分けています。③の具体例としては「日経ID登録されたお客さまの日経電子版閲覧履歴や閲覧状況など」があげられており、④の具体例としては「日経ID登録されていないお客さまの日経電子版閲覧履歴や閲覧状況など」があげられています。

その上で本プライバシーポリシーは、①と②は個人情報であり、④は個人関連情報(個人情報保護法2条7項)であるとしています。

しかし、④に関するこの説明は正しいといえるのでしょうか。個人関連情報(法2条7項)は令和2年の個人情報保護法改正で新設されたもので、具体例としてはCookieやIPアドレス、サイトの閲覧履歴、位置情報などのことであり、条文上は「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう」と定義されています(法2条7項)。

そして、個人情報保護委員会(PPC)の個人情報保護法ガイドライン通則編(2022年4月1日版)22頁の個人関連情報に関する注(※)はつぎのように説明しています。
(※) 個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しない。(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

個人情報保護法ガイドライン22ページ
(個人情報保護法ガイドライン通則編(2022年4月1日版)22頁より)

すなわち、PPCのガイドライン22頁の注は、CookieやIPアドレス、閲覧履歴、位置情報、移動履歴なども「連続的に蓄積」されると、それぞれがお互いに差異のあるユニークなデータとなり、たとえ個人名を識別できないとしても、「あの人のデータ、この人のデータ」と、ある個人(特定の個人)を識別できるデータになるから、それは個人情報でありもはや個人関連情報ではないと明記しています。

(参考)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

個人関連情報などの図

したがって、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、「連続的に蓄積」されたデータは個人情報であり、これも一律に個人関連情報であるとしている本プライバシーポリシーは正しくありません。

(2)個人情報の容易照合性
さらに、個人情報は、生存する(a)「個人に関する情報であって」かつ(b)「特定の個人を識別できるもの」です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。そしてさらに(c)「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」(=容易照合性)と定義されています(法2条1項1号)。

この(c)の容易照合性について、PPCの個人情報保護法ガイドラインQA1-18は、「事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において…双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。」としています。

個人情報ガイドライン1-18の1
個人情報ガイドライン1-18の2
(個人情報保護法ガイドラインQA(2022年4月1日版)より)

日経新聞社の社内の個人情報関係のデータベースの仕組みやアクセス制御、社内規程などを私は知りませんが、しかし一般論としては、同一の企業内のある部門のもつデータベースと別の部門のもつデータベースはお互いに職員が情報を照会して照合することが可能であると思われます。そうでなければ利用できず、社内でリソースを使って収集・保存する意味がないからです。

そう考えると、日経新聞社内のご利用履歴情報のデータベースとお客様登録情報のデータベースは容易に照合が可能であるといえるのではないでしょうか。すると、④「お客様登録情報と関連付けないで収集するご利用履歴情報」であっても、お客様登録情報と容易に照合してある個人を識別できる個人情報であるといえる情報・データも存在するものと思われ、この点からも日経の本プライバシーポリシーは正しくないと思われます。

3.第三者提供について
第二に、気になる個人情報の第三者提供について、本プライバシーポリシーをみると、「3.個人情報の提供など」の部分は、本人同意による第三者提供(法27条1項(改正前法23条1項))についてはそれなりに記載がありますが、広告業者、DMP業者などへの第三者提供のオプトアウト方式(法27条2項(改正前法23条2項))の記載がないことが気になります。
日経プライバシーポリシー6
(「(改正後)日経IDプライバシーポリシー」より)

従来は50も100もオプトアウト先が列挙されており、ネット上では「オプトアウトが事実上不可能」と批判されていました。その日経新聞の個人データの提供先にはGoogleやFacebook、Twitter、ヤフーや楽天、LINE、セールスフォースなどのIT企業が列挙されていましたが、あれはどうなってしまったのでしょうか?

アクセスデータの共有先1
アクセスデータの共有先2
オーディエンスワン概要図
(日経新聞社サイトより。2022年3月5日現在)

また、上でみた個人関連情報は、個人情報ではありませんが、国民・消費者保護のため、第三者提供には本人の同意が必要となっています(法31条)。にもかかわらず、日経の本プライバシーポリシーが、④「お客様登録情報と関連付けないで収集するご利用履歴情報」の提供について本人同意について何も書いていないのは大丈夫なのでしょうか?不安が残ります。

4.「広告業者等に単体では個人を識別できない情報を提供する」
第三に、利用目的の「(5)個人情報の共同利用について」は「広告業者等に単体では個人を識別できない情報を提供する」との記載があります。この「単体では個人を識別できない情報」とは匿名加工情報のことなのでしょうか?しかし、データを潰してならして個人が識別できないようにした匿名加工情報を提供されても、広告企業やDMP業者などは業務には使えないのではないでしょうか?

この点、個人データから氏名や住所などの個人データの一部を削除した仮名加工情報が今回の令和2年の個人情報保護法の改正で新設されました(法2条5項、法41条)。しかし仮名加工情報は他の情報と照合して本人を識別することは禁止され(同条7項)、本人に電話や郵便・メールなどでアクセスすることも禁止され(同条8項)、そしてさらに仮名加工情報の利用は社内に限られ、第三者提供は禁止されています(同条6項、同42条1項)。したがって、もし万が一、日経新聞社が「単体では個人を識別できない情報」として仮名加工情報を広告業者やDMP業者などに提供しようとしているとしたら、それは個人情報保護法41条6項および法42条1項違反です。

5.「外国にある第三者」など
第四に、保有する個人情報に講じた安全管理措置の記載などがないことも気になります(法27条1項)。また、本プライバシーポリシーの共同利用の事業者一覧には、中国法人なども含まれていますが、LINEの個人情報問題で注目を集めた「外国にある第三者」(法28条)に関して、外国の個人情報保護法制などの情報に関する記載がないことも気になります。「外国にある第三者」に関しては、委託や事業承継、共同利用は対象外となっていないからです(法28条1項後段、宇賀克也『新・個人情報保護法の逐条解説』285頁)。
共同利用1
(「(改正後)日経IDプライバシーポリシー」より)

6.まとめ
Twitterなどで拝見していると、日経新聞記者は個人情報保護法に強い方が多いのに、本プライバシーポリシーはいろいろと大丈夫なのだろうかと心配になる点が多々あります。日経新聞社内の法務部などは事前にリーガルチェックなどをしっかり実施しているのでしょうか。「日本の企業・国は国民の個人情報をますます利活用して日本の経済発展を!」と「個人情報の利活用」を熱心に主張している日経新聞のプライバシーポリシーがこれでは、今後の日本のデジタル庁などの政府やIT企業、製薬会社、自動車メーカーなどの個人情報の取り扱いが心配になります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』285頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』24頁、54頁、62頁、71頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム