インターネット社会において、ネットサービスの利用と個人情報の提供は切っても切り離せない関係だと言えます。氏名やメールアドレス、住所、それらを含めた身分証など、個人に関わる情報を提供することで、初めて利用できるサービスも多くあることから、私たちはサービス提供企業への信頼を元に、自分たちに関する情報を提供している状況です。
では、その提供した情報が、ユーザの理解が不十分なまま行われる同意に基づいて第三者に渡っているとしたら、どうでしょうか?ユーザ側からすると、なんとも不快な気分になるのはもちろん、どんな用途で利用されているのか、不安で仕方なくなるのではないでしょうか。
実は、サービス提供者が現在の個人情報保護法(正式名称:個人情報の保護に関する法律)等に準拠した対応をしていたとしても、不正アクセスやマルウェア感染といったセキュリティ事故によるものではなく、ユーザーにとっては理解が不十分な形で個人に関する情報が第三者へ提供されている可能性があります。本記事では、個人に関する情報の概念整理を行ったうえで、本人確認サービスをはじめとする各種ネットサービスにおいて、何が問題になりうるのかを解説していきます。
そもそも「個人情報」とは何か
個人情報と一言で言っても、個人情報保護法では、「個人情報」と「個人データ」、そして「保有個人データ」という3つのレイヤーに分類されています。まずは個人情報保護法で定義されているこれらの概念の違いと、2020年の法改正によって新たに定義された「個人関連情報」の定義について、それぞれ確認していきましょう。
個人情報
個人情報保護法では、個人情報のことを以下のものと定義しています。
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項及び第二十八条第1項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
引用:個人情報保護法 第2条 第1項より
要するに、「特定の生きた個人を識別することができる情報」であるとしています。例えば本人の氏名については、それだけで特定の個人を識別できる場合は個人情報になりますし、逆に「太郎」だけのように複数の個人が対象候補として考えられる場合は、特定できているとは言い難いので個人情報とは言いません。ただし、「太郎」だけであっても、その情報に勤務先や住所、電話番号といった情報加わると、それらの組み合わせによって個人を特定しうることになるので、その場合は個人情報になります。
ちなみに、個人が映り込んでいる写真などの画像データも、個人情報に含まれます。「個人の識別」は、なにも不特定多数が識別できるという状態に限らず、例えば本人の知り合いだけが特定できるものだったとしても、それは個人情報になるということです。
個人データ
個人データとは、個人情報保護法上では「個人情報データベース等を構成する個人情報」と定義されています。要するに、個人情報をデジタルデータ化し、コンピューター上でデータベース管理するなどして、すぐに検索等ができるような状態になっているものを示します。
例えば名刺情報を考えてみましょう。交換した紙での名刺そのものは、個人情報になります。一方で、Sansanやeightなどの名刺管理ツールでデータ化したら、そのデジタルデータが個人データになります。もしも紙の名刺を落としてしまい第三者に渡ってしまったとしたら、それは個人情報漏洩になりますし、そうではなく名刺管理をしているデータベースがハッキングされてデジタルデータが流出した場合は、それは厳密には個人データ漏洩になります。
保有個人データ
もう一つ、個人情報保護法では「保有個人データ」という概念を以下のように定義しています。
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
引用:個人情報保護法 第2条 第7項より
要するに、本人から開示や内容の修正、追加、削除、第三者への提供停止といったことを求められたら、その要求に応じなければならない個人データのことを示します。
ここまでの内容を整理すると、個人情報の中に個人データがあり、個人データの中に保有個人データがある、という関係になっています。
個人情報>個人データ>保有個人データ
個人関連情報
もう一つ、従来の個人情報分類に加えて、2020年の改正個人情報保護法で新しく登場したのが「個人関連情報」です。こちらは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されています。
具体的には、例えばインターネットの閲覧履歴や位置情報、Cookie(クッキー)などの情報が個人関連情報として含まれ得ます。イメージしやすいように、以下の図を使ってみていきます。ここでは、個人情報を保有しているB社と、ネット上の様々な情報を管理するDMP(Data Management Platform)事業者であるA社の2社間によるデータの授受ケースを想定しています。
画像出典:第127回 個人情報保護委員会「資料1 個人情報保護を巡る国内外の動向」
まずDMP側であるA社は、個人データを取得しない形でブラウザの閲覧履歴などのユーザー行動情報を取得して、B社からのCookie・ID等の情報に紐付けます。その紐付けた状態で、A社からB社へと、行動情報を渡すとしましょう。するとB社は、Cookie・ID等の情報をキーにして行動情報と個人情報を突合することで、個人データではないはずの行動データが、個人データになるというわけです。
このような事態を想定し、改正個人情報保護法では、個人関連情報を第三者に提供することで個人データとして取得されることが想定されるときは、本人の同意が必要と規定しています。
「第三者提供」とは何か
次に、個人情報の第三者提供の考え方についても見ていきましょう。第三者提供とは、事業者が保有する個人情報を、その事業者以外へと提供する(自由に閲覧・利用できる状態にする)ことを示します。
この第三者提供は、原則的には「本人からの事前の同意」が必要とされており、このことは「opt-in(オプトイン)」と呼ばれています。該当の個人情報を受け取った事業者以外は全て「第三者」になるので、例えグループ会社であっても、このオプトインの対象となります。
同意がなくても第三者提供ができるケース
ただし、個人データの提供先が第三者であっても、本人の事前同意が必要とされないケースもあります。
まずは、法令に定めがある場合です。例えば、会社法に基づき、株主の閲覧請求権に応じることは、「法令に基づく場合」に該当します。
次に、事前同意を求めることが困難な場合です。例えば災害時などに救助が必要な意識不明の人物の家族への連絡先などを医師や看護師に伝える場合は、事前の同意は困難であると言えます。また他にも、例えば児童虐待防止のために、警察や児童相談所などといった機関と該当児童の情報を共有する場合も、事前に同意をするのは困難であると言えるでしょう。
このような例外は、個人情報保護法 第23条では、以下の通り定義されています。
1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
引用:個人情報保護法 第23条より
もう一つは、オプトインとは反対の概念となる「オプトアウト」の手続きをとっている場合です。オプトアウトとは、個人データの第三者提供をするということを本人が簡単に知ることができる状態にしておき、本人が反対をしない限りにおいては、個人データの第三者提供に同意したものとみなすということです。
2017年の個人情報保護法改正以前では、この「本人が簡単に知ることができる状態」という部分が非常にあいまいで、幅広く解釈ができる状態でした。ゆえに事業者によっては、実態として本人が簡単には気づかないように第三者提供のことを通知し、本人の知らない形で個人データを提供しているケースが多く見受けられました。
これを防止するべく、2017年の法改正によって、オプトアウト方式で個人データを第三者提供する場合には、事前にオプトアウト手続きを行うことを「個人情報保護委員会」に届出をすることが義務化されることになりました。
2020年の改正でも、オプトアウト規定により第三者に提供できる個人データの範囲が限定されたほか、オプトアウトによる個人データを第三者に提供する場合の届出事項が追加されるなど、オプトアウト制度を採用している事業者は、提供対象の個人データを見直すとともに、届出事項に漏れがないように努めなければなりません。
第三者提供にあたらないケース
ここまでは個人データの第三者提供についてお伝えしましたが、個人データの第三者提供に当たらないものの、間違って認識されるケースが存在します。具体的には、以下3つのケースです。
- 委託先への提供
- 共同利用
- 事業承継
第三者提供そのものは悪いわけではない
ここまで読んでいただくと、個人情報の第三者提供がなんだか良くないことのように感じられるかもしれませんが、第三者提供そのものは悪いことではありません。個人情報を適正かつ効果的に活用することは、個人情報保護法の目的に合致していますし、第三者提供の活用により個人が恩恵を受けるケースも確実にあるものと考えています。
その上で、TRUSTDOCKとしては、第三者提供を行うに当たっては、法令の要件を満たすだけでなく、以下の4点に特に配慮することが「ユーザーの安心確保」にとって重要であると考えています。
- 利用目的の特定
- 第三者提供の範囲の明確化
- 第三者における利用目的の特定
- 分かりやすい説明
1. 利用目的の特定
個人情報の第三者提供に限らず、個人情報取扱事業者は、個人情報を取り扱うにあたって、その利用目的をできる限り明確にしなければならないことが、個人情報保護法 第15条に明記されています。またこれについてはガイドライン(通則編)(3-1-1 利用目的の特定)でも、「本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」と記載されています。
2. 第三者提供の範囲の明確化
上記に付随してガイドライン(通則編)(3-6-1 第三者提供の制限の原則)では、個人情報を第三者へと提供するにあたって本人に事前同意を求める場合は、「必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない」と記載されています。
3. 第三者における利用目的の特定
さらに、第三者へと提供された際の利用目的の特定も重要です。同じくガイドライン(通則編)(3-6-1 第三者提供の制限の原則)では、「あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない」と記載されています。
4. 分かりやすい説明
最後に挙げるのは、本人にとっての分かりやすい説明です。第三者提供を行うに当たっては、原則的に本人の同意の取得が必要となりますが、利用目的や第三者提供の範囲が明確でないと、本人の理解が不十分なまま同意取得が行われてしまうことになります。そうした事態を防ぐためにも、明確であるがシンプルで分かりやすい説明が求められることになります。
TRUSTDOCKは、個人情報の「開示等請求」も重視しており、先般、手続きのオンライン化をプライバシーポリシーに盛り込んでいます。
「開示等請求」とは、利用目的の通知の求め(第27条第2項)、開示請求(第28条第1項)、訂正等請求(第29条第1項)、利用停止等請求(第30条第1項)、第三者提供停止請求(第30条第3項)の5つの「本人関与手続き」のことです。この本人関与手続きを実効的にするためには、保有個人データに関する事項の公表等が十分に行われる必要があるからこそ、プライバシーポリシーへの定め方をはじめ、分かりやすい発信に努めていきます。
なお、開示等請求についての解説はこちらも併せて御覧ください。
個人データの開示等請求をオンライン化。2020年の改正個人情報保護法の施行を前に読み解く
なぜ、ユーザーの“理解不十分なまま”同意に基づく第三者提供が行われる可能性があるのか
ここまで、個人情報保護法をベースとする各種規制内容についてみていきましたが、ユーザーの理解が不十分なまま個人情報が第三者提供されるケースは未だに散見される状況だと言えます。
その要因としてはまず、利用目的の具体性への解釈にバラつきがあることが挙げられるでしょう。対象となる個人情報をどのような業務や目的で利用するのか、後ろめたいことがないのであれば、「○○事業における当社サービスに関するお問い合わせ、サポート対応のため」「当社の本人確認サービスにおける本人確認のため」といった形で、可能な限り明確に記載するべきです。そうではなく、「当社の事業活動に利用」「サービス向上のため」といったあいまいな記述になっている場合、どのような目的で利用されるのか分からないまま様々な他事業者(第三者)へ提供がなされる可能性があります。
これが、サービスを提供する事業者だけでなく、その委託を受ける事業者の情報の取扱いとなると、その委託先の情報の取扱いを理解するのが一層容易ではなくなります。
eKYC事業者選定時に考えるべきチェック項目(個人情報関連編)
これは、オンライン本人確認(eKYC)領域においても同じことが言えます。eKYC事業者の中には、eKYC実装先であるクライアント企業におけるエンドユーザーの申込みから、本人確認情報の送信を受け、その確認結果を事業者に戻すのと同時に、収集した免許証等の画像データなどをクライアント企業がユーザの同意を取得したことをもってeKYC事業者から見た第三者に提供しているケースもあるようです。
このような取扱いは、仮に法律上問題がないと言えたとしても、ユーザーから見た場合、ユーザの立場に立った取扱いと言えるかについては、意見が分かれるのではないでしょうか。
また、委託元の事業者にとっても望ましいものではありません。
このような背景から、eKYC導入を検討する企業は、eKYCにて集められた情報がユーザーの十分な理解のないまま第三者に共有されるのを防ぐために、以下の項目のチェックを行うことを推奨します。
(いずれも、取引先から委託された本人確認業務における個人情報の取扱いについて)
- eKYC事業者による利用目的は明確か。
- eKYC事業者による第三者提供が行われているか。
- 第三者提供を行っている場合、その利用目的は明確か。
- 委託先の了解なくeKYC事業者において対象個人データを保有していないか。
- 対象個人データの保有期間を契約に基づき定め、ユーザーの求めなど理由がある場合にはデータを消去する運用を行っているか。
上記のうち、どれか一つでも不明瞭なもの、もしくは該当するものがあった場合は、個別に詳細を確認した上で、該当事業者のサービス利用を判断するべきでしょう。
TRUSTDOCKでは、ユーザーが不安を感じる情報の取り扱いは行いません
eKYCに関してはセキュリティの課題が多く話題としてあがりますが、ここまでお伝えしたとおり情報流出リスク以外にも、適法ではあるものの、自社が保有する個人情報が第三者へと提供されるケースがあるわけです。
ユーザーの情報は、本来的にはユーザーのものです。本人確認業務を委託された事業者が委託業務において取得した情報は、法令及び委託元との取り決めに沿って取り扱うべきものであると、TRUSTDOCKは考えます。また、本人確認の受託業務で得た情報のeKYC事業者における保存、委託元の求めに応じて速やかに該当データを削除することとする運用も重要でしょう。
TRUSTDOCKは、委託された本人確認業務において取得した個人データについては、法令に基づく例外的な場合を除き、第三者へ提供する運用は行っていません。法律を遵守することは言うまでもなく重要な観点ですが、法律上問題がないとしても、ユーザーが「不安」を感じる情報の取り扱いには、慎重に対応しなければなりません。
そのためには、取引をさせていただく事業者の皆様との取引期間前から契約期間中の連携も極めて重要であると考えています。TRUSTDOCKは導入していただいた事業者の皆さまとも丁寧にお付き合いをさせていただいております。
自社のみならず、エンドユーザーにとっても安心安全なeKYCソリューションを導入されたいと考えている事業者様は、ぜひお気軽にTRUSTDOCKまでご相談ください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々に向けて、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、KYCやeKYCの詳細については、以下の記事も併せてご覧ください。
KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
(文・長岡武司)
