1.背景
今まで比較的色々な領域でセキュリティ・プライバシーの仕事をしてきたのですが、広告領域は(プロジェクトにアサインされない、他に担当者がいるなどの理由で)真正面からきちんと取り組んだことがありませんでした。
令和2年の個人情報保護法改正に伴い例の「混ぜるな危険」の話が明確になったので、良い機会だと思い勉強しているのですが、ちょっとよくわからなくなってきたので、
- どこがわからないのか
- 今の所どう考えているのか
を記事にしてみようと思います。
2.「混ぜるな危険」
元々は洗剤の話です。塩素タイプと酸性タイプの洗剤が混ざってしまうと有毒な塩素ガスが発生すると言うやつですね。
個人情報に関しては、以下のように
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合する
ことを禁止するものとして使われます。「突合する」についての具体的なユースケースは、以下のQ&Aの事例1と事例2をご覧ください。
3.どこがわからないのか
上記のQ&Aでは、突合が許容される条件として2つの手段が記載されています。
①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱う
②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等
記載の都合上
- 当初委託をしようとしていた会社:A社
- 当初委託を受けようとしていた会社:B社
として説明します。
ケース①について
これはわかりやすいです。当初「委託」として整理していたデータの動きを「第三者提供」と構成し直し、A社がユーザーから「B社への、第三者提供についての同意(個情報23条1項柱書)」を取得しているのだと理解できます。
ユーザーから同意を取得しているのはA社なので、A社は同意を得ているユーザーがどのユーザーかを認識しています。そのためA社からB社に渡すのは、同意を得たユーザーについての個人データだけです。
とてもすっきりと理解できます。
ケース②について
こちらは、依然として委託として構成するパターンです。この場合
委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要
があるとのことなのですが、(「等」って何だと言うのはひとまずおくと)2点よくわからない部分があります。
疑問点1
そもそも、ここで言う「同意」って何についての同意なんでしょうか?
第三者提供についての同意でしょうか?それとも、この取組み自体についての同意でしょうか?
第三者提供の同意だとした場合、誰から誰の第三者提供についての同意なんでしょうか?
疑問点2
こちらのスキームを採用する場合、ケース①の場合とは異なりユーザーから同意を取るのはB社になります。そうすると、A社としてはどのユーザーが同意をしているのかわからず、ひとまずB社に個人データを渡し、B社環境で同意を得ている人と得ていない人を選別し、同意を得ている人に対して事例1や事例2記載のような施策を行うことになります。
。。。これって同意を得ていない人については、同意を得ないまま突合しちゃってますよね。
4.今の所どう考えているのか
ひとまず、私は以下の通り理解しようとしています。
疑問点1について
B社からA社への、第三者提供についての同意であると考えています(以下の図における②の同意)。
疑問点2について
言葉で説明し切るのが難しかったので図示します。
以下の①〜③の理由により問題ないのかなと思っています。
----------------------------
以上です。
今日疑問に思って今日書いた記事なのでちょっと甘い所があるかもしれません、ぜひ皆さんのご意見いただきたいです!