個人情報保護委員会は2019年11月25日、個人情報保護法の次期改正に向けてWebブラウザーのクッキー(Cookie)などの利用でデータの提供先企業が個人情報を扱う場合について、新たな規律を検討すると公表した。同委員会は2020年1月からの通常国会に提出する法改正案の内容を年内に示す方針だ。
新たな規律の検討はリクルートキャリアが就職活動中の学生のサイト閲覧履歴などを基に内定辞退の指標を採用企業に提供していた「リクナビ問題」を受けたものだ。
現行法はデータ提供元の企業が内部で他の情報と容易に組み合わせて特定の個人を識別できる場合、個人情報として扱うことを求めている。しかし同委員会はIT化の進展で、データの提供元企業が提供先企業で個人情報となることを知りながら「提供元では個人が特定できないとして、本人同意なくデータが第三者提供される事例が存在する」と問題を提起した。
インターネットのターゲティング広告ではクッキーを使って、ネット利用者のWebブラウザーのサイト閲覧履歴などに応じて広告を配信している。同委員会によると、ネット広告の事業者団体はクッキーなどを突合してデータを提供した相手先企業が個人情報を扱う場合、業界ガイドラインで個人情報と同水準の取り扱いを求めている。
そのため同委員会事務局は新たな規律がターゲティング広告に及ぼす影響について「まっとうな事業者にとっては意表を突くような話ではないと推察している」と説明した。
同日の委員会では「提供先で個人データになることをあらかじめ知りながら、非個人情報として第三者に提供する、法の趣旨を潜脱するようなスキームが横行しつつある」という懸念が委員から示され、「事業者やユーザーを含めて様々な視点から整理すべきだ」という意見が出たという。
同委員会は2019年4月に公表した中間整理で、直接の対象となっていなかった2点を新たに次期法改正の検討項目に加えた。1つは、企業などの保存期間が6カ月以内の「短期保存データ」の扱いだ。プライバシーマーク付与事業者は本人からの開示や削除請求などに応じているため、法令も同じ扱いを求める方向で見直しを検討する。
もう1つは個人情報の利用目的の例外を認める規定の見直しだ。現行法は本人同意を得るのが困難で、生命や身体、財産の保護のために必要な場合や公衆衛生の向上などの必要がある場合、目的外利用を認めている。しかし医療現場では同規定が浸透していないという意見があり、「実需に応じた解釈ができるように規律が必要」(同委員会事務局)としている。
