個人情報を集めることは、ある意味で「信頼を預かること」です。
ポイントカードに住所を書いたとき、あなたはA店に「この情報を適切に使ってくれる」と信頼して預けています。その信頼を守るために、個人情報保護法は事業者にいくつかの義務を課しています。
この章では、事業者が個人情報を扱う際に守らなければならない三つの基本的なルールを見ていきます。
利用目的とは何か
個人情報保護法が事業者に求める最も基本的な義務の一つが、利用目的の特定と通知・公表です。
事業者は、個人情報を収集する際に、何のために使うのか(利用目的)を特定しなければなりません。そして収集した個人情報は、その特定した利用目的の範囲内でしか使えません。
たとえば、ポイントカードを作るときに「お買い物のポイント管理のために使います」と説明して収集した住所・電話番号を、本人の同意なく「新商品のダイレクトメール送付」に使うことは、利用目的の範囲外の利用として認められません。
AIの開発では、ユーザーデータを学習に使う場面がよくあります。「サービス提供のために収集した」データを「AIモデルの学習に使う」ことは、利用目的の範囲外になる可能性があります。
利用規約やプライバシーポリシーに「AIの学習に使用することがある」と明記しておくことが重要です。
利用目的は、できる限り具体的に特定する必要があります。「サービスの向上のために使います」のような漠然とした表現は、利用目的の特定として不十分とされることがあります。
第三者提供とは何か
第三者提供とは、事業者が保有する個人データを、他の事業者(第三者)に提供することです。
個人情報保護法では、原則として本人の同意なく第三者に個人データを提供することは禁止されています。「このデータを別の会社に売る」「パートナー企業に共有する」といった行為は、本人の同意が必要です。
ただし、いくつかの例外があります。法令に基づく場合(警察・裁判所などからの照会に応じる場合)、後述する「委託」の場合、そしてオプトアウト方式による場合です。
オプトアウト方式とは何か
オプトアウト(opt-out)とは、「拒否しない限り、同意したとみなす」という考え方です。
反対にオプトイン(opt-in)とは、「明示的に同意した場合にのみ、同意したとみなす」という考え方です。
日常的な例で考えてみましょう。
オプトイン——メールマガジンの登録フォームで「配信を希望する」にチェックを入れた人だけに送る。明示的に「Yes」と言った人だけが対象。
オプトアウト——全員にメールマガジンを送るが、「配信停止はこちら」というリンクから申し出た人には止める。「No」と言わない限り送り続ける。
個人情報保護法におけるオプトアウト方式とは、本人が「提供を止めてほしい」と申し出た場合に停止するという方式で、一定の条件を満たすことで、本人の個別同意なく第三者提供ができる仕組みです。
オプトアウト方式の要件と注意点
オプトアウト方式で第三者提供を行うためには、以下の事項を個人情報保護委員会に届け出るとともに、本人が知ることができる状態に置く必要があります。
届け出が必要な事項は——第三者への提供を行う個人データの項目、提供の方法、本人の求めに応じて提供を停止すること、本人の求めを受け付ける方法——などです。
ただし、オプトアウト方式には重要な例外があります。要配慮個人情報はオプトアウト方式での第三者提供ができません。病歴・障害・犯罪歴などの要配慮個人情報を第三者に提供するには、必ず本人の明示的な同意(オプトイン)が必要です。
また、不正に取得した個人データや、他社がオプトアウトで提供した個人データを、さらにオプトアウトで別の第三者に提供することもできません。
AIの開発においてオプトアウト方式が問題になりやすい場面として、学習データの収集があります。「ユーザーが拒否しない限り、AIの学習に使用する」という設計は、オプトアウト方式の考え方に近いですが、個人情報保護委員会への届出なしにこの方式をとることはできません。利用規約に「AIの学習に使用することがある」と明記するだけでは、オプトアウト方式として認められない点に注意が必要です。
ここで一つ、重要な区別を整理しておきましょう。
「ウェブ上に公開した文章をAIの学習に使われた」という話を聞いたことがある方もいるかもしれません。しかしこれは、必ずしも個人情報保護法の問題にはなりません。
たとえば匿名で書いたエッセイは、誰が書いたかわからない——特定の個人を識別できないため、個人情報にあたらない場合がほとんどです。この場合、個人情報保護委員会への届出は不要で、個人情報保護法上は問題にならないことが多いです。
一方、名前や顔写真付きのブログ記事のように、特定の個人を識別できる情報が含まれている場合は、個人情報にあたる可能性があります。
ただしこの場合も、問題になるのは個人情報保護法よりも著作権法であることが多いのです。
「誰が書いたか」という個人情報の問題と、「その文章を無断で使っていいか」という著作権の問題は、別々の問いとして考える必要があります。
著作権法については、次の章でじっくり見ていきます。
委託とは何か
委託とは、個人データの取扱いを外部の事業者に任せることです。
たとえば、顧客データの管理をクラウドサービスに任せる、データ分析を外部の会社に依頼する——これらが委託にあたります。
委託は第三者提供とは異なります。
委託先はあくまで「A店の指示に従ってデータを扱う」立場であり、委託先が独自にデータを使うことは認められません。
しかし委託だからといって、何でも自由にできるわけではありません。
個人情報保護法は、委託元(データを預ける側)に委託先の監督義務を課しています。委託先が個人データを適切に管理しているかを確認・監督する責任は、委託元にあります。
「委託先に任せたから、もし漏洩しても委託先の責任」とはなりません。委託先でデータが漏洩した場合、委託元も監督義務違反として責任を問われる可能性があります。
AIの開発で、学習データの処理を外部のAI企業に委託する場合、委託契約の中に「データの適切な管理」に関する条項を盛り込み、定期的に委託先の管理状況を確認することが求められます。
まとめ
利用目的 → 個人情報を何のために使うかを特定したもの。事業者は利用目的を特定・通知・公表する義務があり、その範囲内でしか個人情報を使えない
第三者提供 → 事業者が保有する個人データを他の事業者に提供すること。原則として本人の同意が必要。委託・共同利用・オプトアウト方式などの例外がある
オプトイン → 本人が明示的に同意した場合にのみ、同意したとみなす方式。個人情報の取扱いにおける原則的なアプローチ
オプトアウト → 本人が拒否しない限り、同意したとみなす方式。個人情報保護委員会への届出を条件に、本人の個別同意なく第三者提供ができる。ただし要配慮個人情報・不正取得データには使えない
委託 → 個人データの取扱いを外部事業者に任せること。第三者提供には該当しないが、委託元には委託先の監督義務がある
委託先の監督義務 → 委託元が委託先の個人データの取扱いを監督する義務。委託先で漏洩が起きた場合、委託元も責任を問われる可能性がある