Legal X Design

大阪で働く法務パーソンのはなし

ID連携と個人関連情報の第三者提供

X COMPLIANCE

f:id:itotanu:20211026224428p:plain

個人情報保護委員会から改正法関係の資料がひととおり出て、弁護士事務所や企業による改正対応セミナーの山もひとつ越えた感じの10月末。セミナーで学んだことを生かして、ようやく改正対応に本腰入れました。

しかし、のらりくらりやってきたツケがまわり、すぐに立ち止まってしまいます。。たとえば、ID連携って、個人関連情報の第三者提供に当たるのでしょうか?

あるセミナーで、「DMPとかID連携とかしていない限り、個人関連情報は一般企業には関係ないお話ですよ〜」とおっしゃる弁護士がいらっしゃったのですが、世のBtoC企業は結構ID連携をやってると思うので、もう少し深堀してほしかった…

ID連携のしくみ

消費者を直接の顧客とする当社では、消費者向けにアプリを提供していて、GoogleTwitterFacebook、LINEなどとID連携を行っており、専用IDを作らなくても、既存の著名プラットフォームのIDで当社サービスを利用できるようになっています。

このID連携、ユーザーからみると次のような流れで進むのが一般的だと思います。

ユーザーが当社アプリを立ち上げ、あるプラットフォームとのID連携を選択する
 ↓
当社アプリから指定プラットフォームのサイトへと画面が遷移する
 ↓
指定プラットフォームが当社アプリとの連携を許可するかユーザーに確認する
 ↓
ユーザーが連携を許可する
 ↓
当社アプリに遷移し、当社アプリが利用規約確認を求め、ユーザーがOKすれば利用登録完了
 ↓
以後ユーザーは、プラットフォームのID・PWでログイン可能

このとき、裏側で何が行われているのか、今ひとつ理解できておらず、「これ見たら素人でもわかるよ」という資料があればぜひ教えていただきたいです。というか、もう少し目線を下げてどなたか教えてください。見当たらないのは、何か理由があるのではないかと勘繰ってしまう…

私の理解では、ユーザーが連携を許可したタイミングでプラットフォーマーから当社アプリに「うちのID・PWを使っておたくのアプリにログインすることを希望しているユーザーXのIDは"ABCDabcd"、PWは"123456"で、本人認証をした」という連絡があり、以後は、都度ログインせずとも当社アプリはID・PWを記憶した端末識別子を使ってプラットフォーマーへユーザーの認証を依頼しているのだと思います(正しいでしょうか?)。

個人関連情報の定義

改正個人情報保護法では、「個人関連情報」という概念が誕生します。Cookie規制だとか、提供元基準説の修正だとか言われていますが、まずは定義を理解しましょう。
といっても簡単で、平たくいえば、「生存する個人に関連する情報であって、個人情報ではないもの」(改正法26条の2第1項柱書参照)です。

ガイドライン通則編では、以下が具体例として示されていて、「誰かはわからないけれど特定の誰かの情報」と言い換えることができそうです。

  • Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
  • メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
  • ある個人の商品購買履歴・サービス利用履歴
  • ある個人の位置情報
  • ある個人の興味・関心を示す情報

アプリの会員ID・PWは、特定の誰かの情報ではあるけれど、「どこの誰」を識別することはできないケースが多く、これもまた個人関連情報といえるはず(氏名等と紐づけ可能な場合は個人情報)。
そうすると、当社はユーザーやプラットフォーマーと個人関連情報をやりとりしていることになりそうです。

個人関連情報が問題になるのは一定の第三者提供のみ

「個人関連情報」という用語が改正法に新たに登場したため、また、これがCookie規制にもなり得るため、個人関連情報の対応要否は、担当者レベルでは安全管理措置の公表と並んで注目を浴びている改正項目です*1

でも、セミナーで講師が度々指摘されるとおり、個人関連情報が問題になるのは、第三者提供の場面、それも提供先が個人データとして取得することが想定されるケースに限られます(改正法26条の2第1項柱書)。

ID連携は提供先が個人データとして取得することが想定される個人関連情報の第三者提供なのか

さて、では、一般に行われるID連携では、誰から誰へ個人関連情報が提供されているのか、提供先は個人データとして取得することが想定されているのか。

ID連携では、プラットフォーマーから当社アプリに対し、ユーザーに関する一定の情報が、本人の指示に従い提供されます。
この一定の情報は、プラットフォーマーからすれば個人情報であるケースも、個人関連情報のケースもあるはずですが、当社にとっては原則個人関連情報です(例外は氏名登録が原則のFacebook?)。そして、当社は、プラットフォーマーからもらった一定の情報を端末識別子に記憶し、この端末識別子(とそこに記憶されたID・PW)を本人認証のために保有し、ログイン時にその内容をプラットフォーマーに照会している?

だとしたら、当社がプラットフォーマーに情報提供するところが、個人関連情報の第三者提供に当たるのでしょうか…?ID連携について本人の同意を得ているので、この取組み自体が違法になることはないのでしょうが、仮に第三者提供になれば、提供先には所定の確認・記録義務があり、(強大なプラットフォーマーたちはおそらく)その一部を提供元に移転させてくるでしょう。結局、大変な思いをするのは当社…なのか?

最近、GDPRCookie対応でやたらポップアップ表示の必要性を訴えてくる代理店が多いのに、こちらについてはあまりちゃんと説明してくれません。これから改正法対応の記事執筆やセミナーをなさる方にはぜひ話題に取り上げてほしいです。

*1:仮名加工情報も新規概念ですが、結局「仮名加工情報を作ろう」という意図がない限り、個人情報に対する安全管理措置としてのマスキングと考えればよく、今のところ実務上は使い道がなさそうです。もう少し動向を注視したい。