平成27年(2015年)9月3日に成立、平成29年(2017年)5月30日に全面施行された個人情報保護法に関するQ&Aです。
令和2年(2020年)6月5日に成立、令和4年(2022年)4月1日に施行された個人情報保護法に関するQ&Aについては、2020年改正個人情報保護法に関するQ&Aをご参照ください。
「個人情報」の範囲について
Q1. メールアドレスは個人情報に含まれますか?
記号の羅列でしかないメールアドレス(例:abc1234@gmail.com)は単独では個人情報には含まれません。
ただし、氏名の一部や組織等が識別できるもの(例:karte.taro@plaid.co.jp)は個人情報となります。
これらをプレイド側で区別することは困難であるため、プレイドとしてはメールアドレスを原則として個人情報として扱います。
Q2. ID/PWは個人情報に含まれますか?
今回の改正で「個人識別符号」というものが新たに定義されました。
この「個人識別符号」に含まれるものは、生体データ(指紋、虹彩情報等)および公的機関の発行したID(運転免許証番号、パスポート番号等)です。
一般の事業者が発行したユーザーID等は個人識別符号には含まれません。
すなわちこれらは単独では個人情報ではありません。
Q3. cookie情報、端末ID、IPアドレス等は個人情報に含まれますか?
単独では個人情報に含まれません。
KARTEが取得するデータの範囲について
Q1. KARTEは個人情報を自動で取得するのか?
個人情報については、自動での取得は行いません。
KARTEへの個人情報の送信については、クライアント様のご判断により、主にユーザータグの設置により、任意で行われます。
KARTEへの個人データ提供の扱いについて
Q1. KARTE(プレイド)への個人データの提供は「第三者提供」になるのか?
KARTE(プレイド)へ個人データを提供される場合、その提供は個人データの取扱いの「委託」に伴って行われるため(KARTE利用規約第27条)、「第三者提供」ではありません(個人情報保護法23条5項1号)。
Q2. 第三者提供時に求められる授受の記録は残されているか?
そもそも第三者提供にはあたらないため、授受記録の義務はありません。
ただし、KARTEに対する全てのデータ送信はログが保管されています。
Q3.そのログを提供してもらうことは可能か?
原則として開示はおこなっておりません。
外国にある第三者への提供について
Q1. クラウドサーバ物理的な稼働場所を教えてもらえますか?
セキュリティホワイトペーパーの「2 データ保管場所」をご参照ください。
Q2. サーバーを海外で管理している場合、エンドユーザーに対して再度同意の取得が必要になりますか?
今回の改正を管理している個人情報保護委員会の Q&A によるとクラウドサービスを提供する事業者(プレイドの場合はGCPとAWS)において個人データを取り扱うかどうかが判断の基準となり、GCPもAWSも個人データは取り扱わないとされているため、エンドユーザーに対して同意をとる必要はありません。
Q3. AWS(Amazon)、GCP(Google)へのクライアントの監督義務はあるのか?
ありません。
そもそもAWS/GCPには個人データを提供したことにならないためです。
ただし、クライアント様においては自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
Q4. プレイドに対する監督責任は?
プレイドに対して個人データを委託する場合、クライアント様にはプレイドに対する監督責任があります(個人情報保護法22条)。