こちらの記事では、2020年6月5日に成立、2022年4月1日に全面施行の改正個人情報保護法に関するQ&Aです。

本記事作成時点(2022年2月)の個人情報保護委員会からの公表情報等をもとにしていますが、情報に変更・追加がある場合に記載内容が変わる可能性がございます。
ご理解いただきますようお願いいたします。
ご不明な点がある場合は、 support+term@plaid.co.jp 宛にメールでお問い合わせ下さい。

なお、法令等の解釈・適合性等については、利用企業の責任において、法律家やその他の専門家にご相談の上でご判断ください。

個人の権利に関する改正について

Q1. 改正法では、本人の関与を強化する観点から、利用停止等の請求の要件を個人の権利又は正当な利益が害されるおそれがある場合にも拡充していますが、KARTEでは対応していますか?

利用企業に対し当該請求がなされた場合の利用停止・消去等について対応機能を提供しております。
詳細については support+term@plaid.co.jp 宛にメールでお問い合わせ下さい。

事業者の守るべき責務に関する改正について

Q2. 改正法では、一定数以上の個人データの漏えい、一定の類型に該当する個人データの漏えい等が発生した場合、個人の権利利益を害するおそれがある場合に、委員会への報告及び本人への通知が義務化されましたが、KARTEでは対応していますか?

データの取扱いについて慎重を期しておりますが、万が一このような事象が発生した場合には、弊社にて事象を認知後、法令に従い速やかに対象企業にご報告させていただきます。
なお、障害情報については statuspage にて常時提供しております。

Q3. 改正法では違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化されましたが、KARTEの利用に当たって注意しておくべきことはありますか?

利用企業においてご対応いただく事項となります。個人情報保護委員会から出されているガイドライン、Q&A等を踏まえて適切な対応をお願いいたします。
万が一、利用企業における不適正な方法による利用の可能性を弊社にて認識した場合は、事実確認の上、利用規約に基づきKARTEの提供を停止等させていただく場合がございます。

データの利活用に関する施策に関する改正について

Q4. 改正法では「仮名加工情報」が創設されましたが、KARTEのデータが仮名加工情報として利用されることはありますか?

利用企業の事前の承諾なく仮名加工情報として利用されることはありせん。

Q5. 改正法では、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認が義務付けられましたが、KARTEの利用にあたってこのような本人同意取得等が必要になりますか?

利用企業において個人データとなる情報については、基本的に、個人データの取扱いの委託として、委託された業務の範囲内でデータのやりとりが行われるため、改正法における上記規制の適用はなく、本人の同意取得は不要です(※1)。
なお、プレイドは、利用企業によるKARTEの利用と関係なく利用企業のウェブサイト・アプリを訪問したユーザーの個人データを独自に取得および保有することはなく、このようなユーザーに関する個人データに該当しない情報(個人関連情報)をプレイドにおいて個人データとして取得することもありません。

※1 : 以下をご参照ください。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A8−9

法の域外適用・越境移転に関する改正について

Q6. 改正法では、外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求められるようになりましたが、KARTEの利用に当たって、このような本人への情報提供は必要ですか?

KARTEではクラウドサービスとしてGoogle Cloud Platoform(GCP)とアマゾンウェブサービス(AWS)を利用していますが、GCPもAWSも個人データを取り扱わないとされており、第三者への個人データの提供には該当しません(※2)。
また、GCP、AWSの利用に関する契約当事者はいずれも日本法人であり、日本国内で事業活動を行っています。したがって、外国にある第三者への個人データの提供はなく、改正に従い本人へ情報提供することは不要と認識しています。

※2 : 以下をご参照ください。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7−53

法定公表事項に関する改正について

Q7. 改正施行令では、個人情報取扱事業者は、保有個人データに関し、安全管理のために講じた措置(ただし、公表により支障を及ぼすおそれがあるものを除外)を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)におく必要があるとされました。安全確保のために講じた措置のうち、外的環境の把握の一環として、KARTEのデータがどこの国に保存され、その国の個人情報の保護に関する制度について知ることはできますか?

KARTEではGCPの台湾、米国及び日本リージョン、AWSの日本リージョンを利用しており、これらのリージョンにデータが保存されています(現状、特定のリージョンへの限定はできません)。
台湾及び米国は、APEC の CBPR システムに参加しており、個人情報の保護について概ね我が国と同等の保護が期待できるとされています。
個人情報の保護に関する制度の詳細については、個人情報保護委員会のHPに掲載されている「外国における個人情報の保護に関する制度等の調査(※3)」をご参照ください。

※3 : 以下をご参照ください。
外国における個人情報の保護に関する制度等の調査

その他

Q8. 利用企業によるKARTEの利用により収集された、利用企業のウェブサイト・アプリを訪問したユーザーの個人データと、利用企業によるKARTEの利用と関係なくプレイドが独自に取得した個人データ又は個人関連情報が、本人ごとに突合されることはありますか?(※4)

ありません。

※4 : 以下をご参照ください。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7−41
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7−42

Q9. A社及びB社の指示に基づき、A社から委託に伴って提供を受けた個人データと B社から委託に伴って提供を受けた個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、これを A社及び B社に提供することはありますか?(※5)

A社から委託に伴って提供を受けた個人データと、B社から委託に伴って提供を受けた個人データは分離して保存・管理されています。
A社及びB社の事前の承諾並びに法令上必要となる手続を行わずに、プレイド が両社の個人データを本人ごとに突合することはありません。

※5 : 以下をご参照ください。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7−43

Q10. 個人情報保護委員会から公表されているガイドラインでは、本人が合理的に予測等できないような個人データの処理が行われる場合、どのような取扱いが行われているかを本人が予測できる程度に利用目的を特定しなければならないことなどが明確化されました(※6)。KARTEの利用にあたっては利用目的はどのように記載すべきでしょうか?

個人情報の利用目的は、利用企業によって異なるため、利用企業において対応いただく事項になります。ご参考として、KARTEの利用に伴うプライバシーポリシーの作成方針を作成しております。

※6 : 以下をご参照ください。
個人情報の保護に関する法律についてのガイドライン(通則編)3−1−1