改正個人情報保護法に関するQ&A

平成27年(2015年)9月3日に成立、平成29年(2017年)5月30日に全面施行された個人情報保護法に関するQ&Aです。


「個人情報」の範囲について



Q1.メールアドレスは個人情報に含まれますか?

記号の羅列でしかないメールアドレスは個人情報には含まれません(例:abc1234@gmail.com)
ただし、氏名の一部や組織等が識別できるものは個人情報となります(例:karte.taro@plaid.co.jp)
これらをプレイド側で区別することは困難であるため、プレイドとしてはメールアドレスを原則として個人情報として扱います。

Q2.ID/PWは個人情報に含まれますか?

今回の改正で「個人識別符号」というものが新たに定義されました。
この「個人識別符号」に含まれるものは、生体データ(指紋、虹彩情報等)および公的機関の発行したID(運転免許証番号、パスポート番号等)です。一般の事業者が発行したユーザーID等は個人識別符号には含まれません。すなわちこれらは個人情報ではありません。

Q3.cookie情報、端末ID、IPアドレス等は個人情報に含まれますか

含まれません。

 

KARTEが取得するデータの範囲について



Q1. KARTEは個人情報を自動で取得するのか?

個人情報については、自動での取得は行いません。
KARTEへの個人情報の送信については、クライアント様のご判断により、主にユーザータグの設置により、任意で行われます。

 

KARTEへの個人情報提供の扱いについて



Q1.KARTEへの個人情報の提供は「第三者提供」になるのか?

KARTEへの個人情報の提供は「委託」であり、「第三者提供」ではありません。(利用規約第23条)

Q2.第三者提供時に求められる授受の記録は残されているか?

そもそも第三者提供にはあたらないため、授受記録の義務はありません。
ただし、KARTEに対する全てのデータ送信はログが保管されています。

Q3.そのログを提供してもらうことは可能か?
原則として開示はおこなっておりません。


外国にある第三者への提供について



Q1.クラウドサーバ物理的な稼働場所を教えてもらえますか?

A1. AWSは日本、GCPが台湾です。

Q2.サーバーを海外で管理している場合、エンドユーザーに対して再度同意の取得が必要になりますでしょうか。

A2. 今回の改正を管理している個人情報保護委員会のガイドラインとQ&Aによるとクラウドサービスを提供する事業者(プレイドの場合はGCPとAWS)において個人データを取り扱かどうかが判断の基準となり、GCPもAWSも個人情報は利用しないためエンドユーザーに対して同意をとる必要はありません。

Q3.なぜGCPは日本ではなく台湾にあるのでしょうか?

KARTEのコア部分で使用しているGoogle BigTable がまだ東京リージョンでは提供されていないためです。

Q4.AWS(Amazon)、GCP(Google)へのクライアントの監督義務はあるのか?

ありません。そもそもAWS/GSPには個人情報を提供したことにならないためです。

Q5.プレイドに対する監督責任は?
プレイドに対しては個人情報の委託に該当するため、クライアント様には適切な安全管理措置を講ずる義務があります。