個人関連情報とは何か具体例と金融活用の注意点

個人関連情報とは何か、具体例と定義・ルールを徹底解説

Cookieを「同意不要で自由に使えるデータ」と思っていると、法人に最大1億円の罰金が科されるリスクがあります。

個人関連情報とは何か：定義と個人情報保護法上の位置づけ

個人関連情報とは、個人情報保護法第2条第7項に規定された情報区分の一つで、「生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの」を指します。つまり、「ある個人に関係する情報ではあるものの、その情報単体では誰の情報かを特定できないもの」がこのカテゴリに入ります。

2022年4月1日に全面施行された改正個人情報保護法で新たに定義された概念です。それ以前は、CookieやIPアドレスといったデータに対する第三者提供ルールが明確ではありませんでした。改正によって「個人関連情報取扱事業者」という概念も生まれ、一定の義務が課されるようになりました。

個人情報保護法が扱う「個人に関する情報」は、大きく次の4つに分類されます。

| 分類 | 概要 |
|:---|:---|
| 個人情報 | 氏名・生年月日など、特定の個人を識別できる情報 |
| 仮名加工情報 | 他情報と照合しない限り個人を識別できないよう加工したもの |
| 匿名加工情報 | 個人を特定できないように復元不可の形で加工したもの |
| 個人関連情報 | 上記3つのいずれにも該当しない、個人に関する情報 |

この4分類のうち、最も規制が少ないように見えるのが個人関連情報ですが、落とし穴があります。単独では個人を特定できなくても、提供先で個人データと組み合わせた瞬間に「個人情報」として扱われ、規制の対象になるのです。

つまり「個人関連情報だから規制外」という考え方は危険です。これが金融・マーケティング分野で特に注意が必要な理由です。

個人情報保護委員会による公式な定義と解説は以下のページで確認できます。

個人情報保護委員会：「個人関連情報」とは何か（FAQ）

個人関連情報の具体例：Cookie・閲覧履歴・位置情報など

個人関連情報として代表的なものをまとめると、以下のようになります。

| 種類 | 具体例 |
|:---|:---|
| Cookie情報 | ウェブサイト訪問時に発行されるID |
| 閲覧履歴 | 訪問したページURL・日時・滞在時間 |
| 購買履歴 | 購入商品・金額（氏名等と未紐づけの場合） |
| 位置情報 | GPSで取得した移動ルートや滞在場所 |
| 端末情報 | 広告ID・IPアドレス・端末固有ID |
| 属性・嗜好情報 | 推定された年齢・性別・趣味嗜好 |

ここで注意すべきポイントがあります。同じCookieやIPアドレスでも、氏名やメールアドレスなど個人を特定できる情報と紐づいた瞬間に「個人情報」に変わるという点です。

たとえば、会員IDと紐づいた購買履歴は、会員情報から個人を特定できる状態になるため、個人情報として扱わなければなりません。「うちはCookieしか使っていないから安心」という認識は危険です。

位置情報についても、単発の位置データは個人関連情報ですが、長期間にわたって連続的に蓄積された場合は自宅や職場が特定できてしまい、個人情報に該当する可能性があります。毎朝7時に同じ住所を出発して22時に帰宅する、というデータが積み重なれば、それは個人の生活パターンを示す個人情報と判断される場合があるのです。

逆に言えば、扱うデータが個人関連情報に留まっているかどうかを常に確認しておくことが基本です。

個人関連情報と個人情報の違い：4分類で整理する情報保護の全体像

個人関連情報を正確に理解するには、個人情報保護法が定める4つの情報区分の違いを把握しておく必要があります。それぞれを比較すると以下のようになります。

| 項目 | 個人情報 | 仮名加工情報 | 匿名加工情報 | 個人関連情報 |
|:---|:---|:---|:---|:---|
| 個人識別性 | あり | 照合すればあり | なし（復元不可） | なし（単体では） |
| 取得時の同意 | 不要（要目的明示） | 不要 | 不要 | 不要 |
| 第三者提供の同意 | 原則必要 | 原則禁止 | 不要 | 条件付きで必要 |
| 利用目的の特定 | 必要 | 原則自由 | 原則自由 | 原則不要 |
| 開示請求対応 | 必要 | 不要 | 不要 | 不要 |

仮名加工情報は、氏名などを削除してIDに置き換えた情報です。社内でのデータ分析効率化に使われますが、第三者提供は原則禁止されています。一方、匿名加工情報は完全に個人を特定できないよう復元不可能な形で加工されており、第三者提供も同意なしで可能です。

個人関連情報が難しいのは、「単体では個人情報ではないが、使われ方次第で個人情報になりうる」という性質を持つためです。この「グレーゾーン」的な性質が、実務上の判断を複雑にしています。

具体的な加工例を示すと、元の個人情報「甲野太郎　男性　61歳　検査数値78.4mg」が仮名加工情報では「（匿名ID）男性　61歳　検査数値78.4mg」になり、匿名加工情報では「（氏名削除）男性　60代　検査数値70mg台」になります。個人関連情報は加工の結果ではなく、もともと特定個人と紐づいていないデータという点で異なります。

4分類の違いを深く理解したい方には、弁護士監修の解説が参考になります。

個人情報・仮名加工情報・匿名加工情報・個人関連情報の分類と取扱いルールの違い（弁護士解説）

個人関連情報の第三者提供ルール：本人同意が必要になる条件とは

個人関連情報は、自社内での取得・利用については原則として個人情報保護法の規制対象外です。ここが個人情報との大きな違いです。

ただし、第三者に提供する場合に「提供先が個人データとして取得することが想定されるとき」には、個人情報保護法第31条が適用されます。このケースでは以下の対応が義務付けられます。

- 本人の事前同意の確認：提供先があらかじめ本人の同意を得ていることを、提供元が確認しなければなりません。

- 確認・記録の保存：同意を確認した旨、提供日時、提供先の名称・住所・代表者名、提供した個人関連情報の項目を記録し、原則3年間保存する義務があります。

「個人データとして取得することが想定される」かどうかは、提供先の事業内容や合意内容で判断されます。たとえば、「提供先がDMP（データマネジメントプラットフォーム）事業者で、顧客データと照合して利用することが明らかな場合」は、通常想定されるとみなされます。これは実態ではなく「一般的な認識」を基準に判断されます。

記録義務は提供元・提供先の双方に生じます。提供先も「提供を受けた個人関連情報の項目」や「本人同意を得た旨」などを記録しておく必要があります。

違反した場合、個人情報保護委員会から勧告・命令が下される可能性があります。命令に従わなかった場合、法人には最大1億円の罰金が科されます（個人情報保護法第184条）。Cookieデータの共有で1億円の罰金リスクを負う可能性がある、という事実は多くのWeb担当者や金融事業者にとって意外に感じられるかもしれません。

金融機関向けの個人情報保護ルールは、個人情報保護委員会のガイドラインで詳しく解説されています。

個人情報保護委員会：金融機関における個人情報保護に関するQ&A

金融・フィンテック分野での個人関連情報活用と独自の注意点

金融に興味を持つ方やフィンテック関連のビジネスに携わる方にとって、個人関連情報は特に身近なテーマです。なぜなら、金融サービスのデジタル化においてCookieや閲覧履歴・購買履歴・位置情報は欠かせないデータ資産だからです。

たとえば、オンライン証券会社が訪問者の閲覧履歴（特定銘柄のページを何度も見ている）を外部の広告配信事業者に提供してターゲティング広告を行う場合、広告配信事業者側が保有する顧客メールアドレスと突合することが想定されるなら、本人の同意確認が必要です。これが2022年改正で整備されたルールです。

また、フィンテック企業が提供する家計簿アプリや資産管理アプリでは、購買履歴・残高情報・利用傾向などが大量に蓄積されます。これらのデータを他のサービスと連携させる場合、個人関連情報に該当するデータが個人データに紐づく可能性が高く、慎重なデータ設計が求められます。

さらに見落とされがちな点として、個人関連情報の規制は提供先が国内にある場合だけでなく、外国にある第三者への提供にも適用される点があります。海外のクラウドサービスや広告ネットワークを利用している場合、その国の個人情報保護制度に関する情報を本人に提供したうえで同意を得る必要があります。グローバルな金融サービスを展開する企業ほど、この点を軽視できません。

実務上の対策としては、プライバシーポリシーへの記載と、Cookie同意バナーの設置が基本です。ウェブサイトにGoogleアナリティクスや広告タグを導入している場合、利用者が同意・拒否を選択できる仕組みを設けることが推奨されます。ウェブ担当者であれば、CMP（同意管理プラットフォーム）ツールを活用することで、一元的な同意管理が可能になります。

Cookie規制の最新動向と実務対応については、以下のページが参考になります。

freee：日本のCookie規制はいつから？内容や対策をわかりやすく解説