こんにちは、ミツカリCTOの塚本こと、つかびー(@tsukaby0) です。
当社はHR Tech SaaSという特性上、個人情報・個人データを扱う機会が非常に多いです。
例えば顧客が従業員の氏名やメールアドレスをシステム上に登録します。そのほか、当社は生成AIをプロダクトに組み込み、自社のミツカリデータを踏まえて分析や相談ができるようなAIアシスタント機能を提供しています。
この時、生成AIに個人データを与えることになります。
今回の記事では私が顧問弁護士に相談しながら数十時間以上検討や調査を行った、個人情報保護法に関する知識をまとめます。
なかなか骨が折れました。PdMや開発者など誰かの助けになれば幸いです。
※私は法律の専門家ではなく、この文章には誤りがある可能性があります。実際に生成AIを利用する場合や個人情報の扱いが気になる場合は弁護士等の専門家にご相談ください。
- 概要
- 基本的な用語(個人情報と個人データ)
- 氏名やメールアドレス以外の情報も個人データである
- 個人情報、個人データはどう扱うべきなのか
- 委託と第三者提供の違い
- クラウド例外
- プライバシーポリシーの変更後の内容に自動で同意済みにならないケースがある
- 個人データの第三者提供において、包括的な同意にすることで再同意を防ぐ手法の問題点
- 匿名加工は想像以上に厳しい
- 仮名加工情報と匿名加工情報の違い
- 外国にある第三者への提供(越境移転)
- 安全管理措置
- 外的環境の把握
- 委託された個人データに委託先が独自に取得した個人データ又は個人関連情報を突合してはいけない
- おわりに
概要
- 氏名やメールアドレス以外の情報であっても、それが個人情報データベースの一部ならば個人データとして扱われ保護対象となる
- 氏名などを単純にマスクした程度の加工では匿名加工の要件を満たせない。匿名化は簡単ではない
- 委託と第三者提供の違いによってデータの扱い方が変わる。クラウド例外に該当する場合は個人データの提供自体に該当しない
- ほとんどの事業者は顧客から預かったデータにサポート等でアクセスする可能性があるため、クラウド例外に該当しない
- 第三者提供を行う場合は、基本的に本人の同意が必要であり、企業の代表者などが同意するだけでは不足である
- 外国に個人データが送信される場合は非常に面倒な要件が複雑に絡み合うため、弁護士への相談は必須
基本的な用語(個人情報と個人データ)
まず、個人情報保護法における基本的な用語を整理します。
※私の記事では大分要約してますので、詳細についてはこちらの政府公式情報の閲覧を推奨します。
個人情報
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
引用: 政府広報オンライン - https://www.gov-online.go.jp/article/201703/entry-7660.html#secondSection
個人データ
「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物をいいます。コンピュータを用いて検索できるように体系的に構成したものや、紙面で処理した個人情報を一定の規則に従って整理・分類し、簡単に検索できるように目次や索引を付けているものが該当します。例えば、五十音順で整理された名簿などがこれに当たります。 「個人情報データベース等」を構成する個人情報を「個人データ」といいます。例えば、名簿を構成する氏名・誕生日・住所・電話番号などの個人情報がこれに当たります。
引用: 政府広報オンライン - https://www.gov-online.go.jp/article/201703/entry-7660.html#secondSection
昨今の各IT事業においてはほとんどのデータはDB化されていると思うので、収集した個人情報は同時に個人データにもなっているという認識を持つと良いと思います。
要配慮個人情報
要配慮個人情報とは、本人に対する不当な差別・偏見が生じないよう、特に配慮を要する個人情報です。具体的には以下のようなものが該当します。
- 人種、信条、社会的身分
- 病歴、障害の有無
- 健康診断等の結果
- 犯罪の経歴、犯罪被害の事実
例えば当社のミツカリサービスにおいてはこれらを保存したり収集する機能を提供していないので特に扱いはありませんが、労務SaaSなどでは該当すると思います。
要配慮個人情報については以下の記事が参考になります。
氏名やメールアドレス以外の情報も個人データである
よくある勘違いとして、次のようなものがあります。
「氏名やメールアドレスが紐づいていないから、このデータ、例えば適性検査の回答結果は個人情報ではないよね」
これは誤りであり、注意が必要な点です。
個人情報と個人データは正確には違うのですが、それよりも重要なのは、氏名やメールアドレス以外の情報であっても、それが個人情報データベースの一部を構成していれば「個人データ」として扱われるという点です。
例えば、当社は適性検査SaaSなので、顧客企業の社員の方などの適性検査の回答結果を持っています。この検査結果は特定の個人に紐づく形でデータベースに保存されているため、個人データとして保護の対象となります。
個人情報、個人データはどう扱うべきなのか
個人情報、個人データの扱いは慎重になる必要があります。
個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。 個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせなければなりません。 取得した個人情報は、利用目的の範囲で利用しなければなりません。 取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。 個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。 外国にある第三者に提供する際には、次のいずれかを満たす必要があります。
引用: 政府広報オンライン - https://www.gov-online.go.jp/article/201703/entry-7660.html
上記引用は抜粋です。他にも保管・管理・開示などに対応する必要はありますが、今回は割愛します。
各事業者はプライバシーポリシーで個人情報の利用用途を定めており、また個人情報を収集する際(例えば問い合わせフォーム)に同意を促しています。
プライバシーポリシーで定められた用途以外では使えません。弊社のようなPマーク取得企業では個人情報保護責任者を社内で設置しているはずですが、この責任者が常に目を光らせておくことは不可能です。そのため、PdMや開発者など、全ての社員が正しく理解しておく必要があります。
取得した個人データを第三者に提供するときも強い制約があります。基本的に本人の同意が必要です。つまり事前にプライバシーポリシー上でどのような事業者(第三者)に渡すかを明記しておく必要があります。
外国に第三者提供するケースはさらに複雑なので後述します。
委託と第三者提供の違い
個人データを外部に渡す場合、大きく分けて「委託」と「第三者提供」の2つのパターンがあります。
| 区分 | 概要 | 本人同意 |
|---|---|---|
| 委託 | 利用目的の達成に必要な範囲内で、個人データの取扱いを外部に委託する場合 | 不要(ただし委託先の監督義務あり) |
| 第三者提供 | 上記以外の目的で個人データを第三者に渡す場合 | 原則必要 |
当社を例にして説明します。当社の顧客は個人データ(従業員の氏名等)を当社に渡す(システムに登録する)必要がありますが、これは「委託」に該当します。そのため、本人(従業員)の同意なく個人データを渡すことができます。
労務管理や給与管理のシステムでも同様です。これを読んでいる従業員の皆様は、人事や労務の担当者から「あなたのデータを◯◯会計会社に渡します。用途は給与計算目的です。良いですか?」というような確認を受けたことはおそらく無いはずです。それは委託だからです。
一方、以下のようなケースでは「第三者提供」となり、原則として本人の同意が必要です。
例えば商品の問い合わせフォームにプライバシーポリシーの同意が付いており、そのプライバシーポリシーには「提携先である◯◯保険サービスからのご案内をお送りするため、◯◯保険サービスに個人データを提供します」というようなポリシーが書かれています。この場合、◯◯保険サービスは自社の商品案内という独自の目的でデータを利用するため、第三者提供に該当します。プライバシーポリシー上で明記し同意を得ていれば問題ありませんが、それが書いていない状態で個人データが渡された場合は個人情報保護法違反となります。
クラウド例外
クラウドサービスを利用して個人データを保管する場合、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの提供(個人情報保護法27条)に該当せず、また、利用企業は委託先の監督(同法25条)も不要とする考え方 があります。これを「クラウド例外」と呼びます。
クラウド例外が認められる条件
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
2024年3月の注意喚起で厳格化
2024年3月、個人情報保護委員会はエムケイシステムに対する行政指導を公表し、クラウド例外の適用について厳格な解釈を示しました。「クラウドサービス事業者が、当該個人データを使用等できる」「保守用IDを保有して個人データにアクセス可能である」「実際に個人データを取り扱っていた」ことを理由に、クラウド例外には当たらない とされました。
この事案は当時それなりに注目されました。まだ記憶に新しい人もいるのではないでしょうか。
詳しくは別の記事をご覧ください。
契約内容にもよりますが、うちはSaaSだからクラウド例外という考えを持つのは危険です。クラウド例外が認められない場合の方が多いと認識しておくと良いです。
クラウド例外に該当しない場合の対応
クラウド例外に該当しない場合は、委託先として監督義務が発生します。具体的には以下の対応が求められます。
- クラウドサービスのセキュリティ対策の十分な理解・確認
- 個人データの取扱いに関する安全管理措置の契約での明確化
- 委託先の定期的な監督
外国クラウドサービスの場合
クラウドサービス提供者が外国の事業者だったりサーバが外国にあったりする場合、クラウド例外に該当しなければ越境移転の規制(第28条)が適用されるため、原則として本人の同意等の対応が必要となります。
一方、クラウド例外に該当する場合であっても、外国にあるサーバに個人データを保存するのであれば、事業者自身が外国で個人データを取り扱うことになるため、安全管理措置の一環として「外的環境の把握」が求められる点に注意してください。
外的環境の把握については後述します。
プライバシーポリシーの変更後の内容に自動で同意済みにならないケースがある
先ほどの説明でプライバシーポリシーに事前に第三者提供先を明記するなどの必要があるということを書きました。
実際に事業を行っていると、後で個人情報の利用範囲を増やしたり、別の第三者にも提供したい、となるケースがあります。その時、プライバシーポリシーを変更(追記)するわけですが、ここで変更した後の内容にまだ個人情報提供者は同意していません。このような場合はどうなるのでしょうか?
利用目的変更の場合
この場合、変更前の利用目的と『関連性』を有すると合理的に認められる範囲、という判断によって対応が変わります。
ここは法律の曖昧な部分なので、判断に迷う場合は専門家に相談したほうがよさそうです。以下は一例です。
- NG: サービスの緊急連絡用に利用するという記載だったが、後からマーケティングにも使いたいと思い追加した。この場合は関連性がないので、新たに同意を取り直す必要がある。
- OK: 新規サービスのお知らせに利用するという記載だったが、後から既存サービスのお知らせにも利用するために追加した。この場合は関連性があると判断されて、通知・公表するだけで良い。同意取得する必要はない。
第三者提供先の追加の場合
先ほどの説明ではケースによって通知だけで済む場合と、同意が必要な場合があると説明しました。
第三者提供先が増える場合は原則として改めて本人の同意が必要です。
(第三者提供の制限) 第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
つまり、A社に第三者提供するというプラポリへ同意を得ていても、新たにB社に第三者提供する場合は、改めて同意をとる必要があります。
ただし、
六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
というような例外もあるため、学術目的などの場合は同意なしで提供できます。
個人データの第三者提供において、包括的な同意にすることで再同意を防ぐ手法の問題点
ここまでの話で第三者提供先が増えると再同意が必要になるため、事業者側としてはできればやりたくないな、と思われると思います。
そこでこういうことを思い付きます。
「提携先企業に提供することがあります」というように範囲を広く取ってしまえばいいのでは?
しかし、これは完璧ではないようです。
ここでいう提携先企業というのが個人情報を持つ本人が予測できる範囲でなければなりません。つまり実質そう書いたからといってどこにでも第三者提供できることにはなりません。
匿名加工は想像以上に厳しい
よく「氏名やメールアドレスなどを切り離す、あるいは匿名化すれば個人データは自由に使える」と誤解されますが、これは間違いです。匿名化を行う場合、単に氏名を消したり黒塗りして加工すればいいわけではなく、かなり面倒な工程を踏まなければいけないため、現実的ではありません。
匿名加工については以下の記事が参考になります。
https://www.ppc.go.jp/personalinfo/tokumeikakouInfo/
匿名加工情報を作成するには、以下の5つの加工基準をすべて満たす必要があります。
- 特定の個人を識別できる記述等の削除(氏名、生年月日、住所等)
- 個人識別符号の全部削除
- 連結符号の削除(会員ID、管理用ID等)
- 特異な記述等の削除(例:101歳→80代以上に置換)
- その他の適切な措置(購入商品の特性上、購入者が非常に限られる場合等)
匿名加工情報は、本人かどうか一切わからない程度まで加工する必要があり、その加工にはハードルがあります。なぜならば、単体の情報では個人の特定ができずとも、他の情報と組み合わせることで個人が特定できてしまう可能性も考慮した加工が求められるためです。
つまり、単純に氏名をマスクしたり、メールアドレスをハッシュ化するだけでは不十分であり、データベース全体を見渡して「他の情報との組み合わせでも特定できないか」を検証する必要があります。
さらに、加工だけではありません。
3-2 安全管理措置
3-3 公表義務
とあるように、正しく加工するだけでなく、安全管理措置を講じた上で公表も必要です。
プライバシーポリシーに匿名加工に関する記載を行っているが、当該匿名加工情報に含まれる個人に関する情報の項目を公表しているような事業者を私は見たことがありません。果たして匿名加工を正しく運用できている企業はいるのでしょうか。
顧問弁護士の意見としても難易度が高いのでおすすめしないとのことでした。
仮名加工情報と匿名加工情報の違い
2022年4月施行の改正法で「仮名加工情報」が新設されました。匿名加工情報との違いを理解することが重要です。
仮名加工情報は、加工のハードルが比較的低く、また、データとしての有用性を保つことが可能です。ただし仮名加工情報は匿名加工情報とは異なり、社内でのデータ分析等が想定されており、第三者提供は禁止されています。
仮名加工情報はあまり顧問弁護士と深く話さなかった部分なので私の理解がまだ追いついていません。そのため、これ以上の説明は割愛します。
外国にある第三者への提供(越境移転)
国内だけで事業を展開している場合には考慮しなくてよいのですが、近年のサービスはかなりの確率で外国が関わってきます。自社のサービスがグローバル展開していないとしても、例えば国外のAWSリージョンを利用してバックアップを保管したり、Anthropicのような海外のAPIを利用するケースなどが該当します。
外国にある第三者に個人データを提供する場合、国内での第三者提供とは異なる追加の規制があります(個人情報保護法第28条)。
(外国にある第三者への提供の制限) 第二十八条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。 2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。 3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
引用: 個人情報の保護に関する法律 | e-Gov 法令検索 - https://laws.e-gov.go.jp/law/415AC0000000057#Mp-Ch_4-Se_2-At_28
外国にある第三者への提供が認められるのは、以下のいずれかに該当する場合です。
- 本人の同意を得る場合(移転先の国名、当該国の個人情報保護制度、移転先が講じる保護措置に関する情報提供が必要)
- 日本と同等水準の保護制度を有する国への移転(現時点ではEU・英国等のみ。米国は該当しない)
- 基準適合体制を整備している者への移転(契約等により日本の法令と同等の措置が担保されている場合)
重要なポイントとして、「委託」であっても外国にある第三者への提供の場合は、上記のいずれかの要件を満たす必要があります。つまり、国内での委託のように「委託だから本人同意不要」とはならない点に注意が必要です。
例えば、自社のサービスがAnthropicのAPI(生成AI API)を利用しているとします。Anthropicには単にデータの処理を委託しているだけであり、第三者提供はしていないという建付けだとします。このような場合、例えばAnthropicが国内であれば問題はありませんが、海外であるならば上記の本人の同意などが必要となってきます。
ちなみにAmazon BedrockではAnthropicのAPIを利用しつつ、リージョンを国内に限定できます。つまり越境移転の制限を受けません(発生しません)。
当社がBedrockを利用しているのはこのような理由もあります。
安全管理措置
個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければなりません。安全管理措置は以下の4つに分類されます。
詳細は以下をご覧ください。
10 (別添)講ずべき安全管理措置の内容 引用: https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10
| 分類 | 内容例 |
|---|---|
| 組織的安全管理措置 | 責任者の設置、取扱規程の整備、インシデント報告体制 |
| 人的安全管理措置 | 従業者への教育・訓練、秘密保持義務 |
| 物理的安全管理措置 | 入退室管理、機器・電子媒体の盗難防止 |
| 技術的安全管理措置 | アクセス制御、暗号化、不正アクセス防止 |
開発者として特に意識すべきは技術的安全管理措置です。
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報システムの使用に伴う漏えい等の防止
要するにID管理やアクセス権管理、FW、暗号化、アップデート、ログなど当たり前のことを言っています。
外的環境の把握
先ほど越境移転の話をしましたが、基本的に個人データを国外に送るということはかなりハードルが高いです。これはAnthropic等のAPI利用だけでなく、国外のクラウドリージョンにバックアップのコピーを置くような場合でも該当します。
詳細は「外的環境の把握」で検索すると良いです。
個人データを管理する事業者は安全管理措置を行うことが義務付けられています。国外に個人データを置く場合、その国の個人情報保護の法令を定期的に確認し、適切に扱うというような作業が発生してきます。この辺りは色々なパターンがあります。以下の資料も参考になります。
https://www.jipdec.or.jp/library/report/sqau0900000033tq-att/20220412_s01.pdf
かなり複雑なので、必ず弁護士等の専門家に相談した方が良い箇所です。もし自社で個人データを海外に置いている場合は要注意です。
ちなみに当社ではこのようなコストを支払いたくないので、AWSの東京リージョンのバックアップのコピーは大阪リージョンに配置しています。(理想的には海外にも配置してさらに多重化すべきではありますが。)
委託された個人データに委託先が独自に取得した個人データ又は個人関連情報を突合してはいけない
https://www.ppc.go.jp/all_faq_index/faq1-q7-42/
少しマニアックなルールですが、自社で注意が必要な部分だったのでこれも記載しておきます。
個人データの取扱いの委託(法第27条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。 引用: https://www.ppc.go.jp/all_faq_index/faq1-q7-42/
例えば労務SaaS事業者が顧客から従業員のデータを委託されたとします。この労務SaaSを展開する会社は自社で就職・転職サービスやリファレンスチェックサービスも展開していたとします。この会社がそれらのサービスで取得したデータから個人ごとの定着率や活躍率というようなデータを計算したとします。このデータは独自に取得した個人データ又は個人関連情報です。このデータを労務SaaSの方の委託された従業員データに突合して、労務SaaS利用企業に提供したとします。このようなケースはアウトになります。
委託データと自社取得データは突合してはいけないというルールです。
おわりに
以上、個人情報保護法における個人データの取り扱いについて、生成AIの利用も含めた実務的な観点でまとめました。特に委託と第三者提供の区別、匿名加工の難しさ、越境移転の複雑さは、PdMや開発者が日常的に判断を求められる場面に直結するポイントです。まずは自社のデータフローを整理し、プライバシーポリシーとの整合性を確認するところから始めてみてください。
間違いが怖いのですが、今回の顧問弁護士とのやり取りでかなり勉強になりましたのでアウトプットしてみました。
かなり複雑な部分なので、当時は泣きたい気分で情報をまとめつつ理解に努めていました。
ミツカリではPマークを取得しています。またHRという特性上、お客様の情報は非常に重要で正しく管理すべきものであると重く受け止めています。
現在、ミツカリではITエンジニアを募集しています。興味のある方はぜひお気軽にご連絡ください!
