2022年施行!改正個人情報保護法の重要ポイントを解説!

 2021.09.13  デジタル・アドバタイジング・コンソーシアム株式会社

 7月30日に配信しましたブログ記事「2022年施行!いまさら聞けない、改正個人情報保護法のキホン」では、個人情報保護法について、なぜ改正されるのか、いつ改正されるのか、なぜ注目を集めているのか、というポイントについて解説しました。

その後、改正個人情報保護法に関連した動きとしては、2021年8月2日に個人情報保護委員会からガイドラインが示されたため、2022年4月1日の法改正についてその全貌が見えてきています。そこで、本記事では改正個人情報保護法のポイントを紐解きながら、企業のデジタルマーケティングにとってどのような影響があるのかを解説します。

改正個人情報保護法において特に重要な2つのポイント

 改正個人情報保護法には、下記8つのポイントがあります。

中でも、デジタルマーケティングの実務上重要なのはオレンジ色の2点です。

 ・仮名加工情報の新設
 ・個人関連情報の新設

そこで本日はこの2点に絞って、どのような改正が行われるのか、それぞれ解説をしていきます。

仮名加工情報の新設について

 仮名加工情報とは「他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報」です。これが今回の改正法で新設されました。

似たものとして、2015年の法改正で導入された匿名加工情報がありますが、匿名加工情報は「加工元の個人情報を復元することができないように加工された個人に関する情報」であるのに対し、仮名加工情報は「他の情報と照合しない限り特定の個人を識別することができない」という定義になっているため、加工の要件が少し緩和されています。

仮名加工情報新設の狙いは、「一定の安全性を確保しつつ、データとしての有用性を加工前の個人情報と同等程度に保つことができるように、匿名加工情報に比してより簡便な加工により得られる新たな個人情報の類型を設けることで、イノベーションの促進を図る点にある」と個人情報保護委員会の資料に記載があるように、企業によるデータ活用を促進し、産業の発展を促すことです。そのため、企業は個人情報を仮名加工情報に加工して活用することで、個人情報の取扱いに際して課される各種義務(利用目的変更の制限や漏洩時の報告・本人通知、開示や停止への対応など)が免除されています。

仮名加工情報には加工・取扱いの要件緩和がある一方で、当然制限もあります。注意が必要なものとして、通常の個人データは本人同意を得た上で第三者に提供することが可能ですが、仮名加工情報である個人データについては、本人同意を得ても第三者に提供することができません(法令に基づく場合を除く)。


(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(仮名加工情報)」https://www.ppc.go.jp/files/pdf/201127_shiryou-1.pdf

 

個人関連情報の新設と、第三者提供時の規制について

 個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を意味します。つまり下図のように、個人情報、仮名加工情報、匿名加工情報どどのカテゴリにも該当しなかったもの、という消極的な定義がされています。

個人関連情報に該当すると考えられる具体的なものとして、氏名と結びついてないネット閲覧履歴、位置情報、Cookie情報等が想定されています。今までCookieによって取得される情報は個人情報保護法の対象ではありませんでしたが、今回の改正法では個人関連情報としてカテゴライズされることになりました。

さらに、個人関連情報については重要なルールが追加されています。それは、「提供元では個人データ(※1)に該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける」というものです。

これはどのような規制なのか、下図を使って説明します。

(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)」https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

まず、個人関連情報を保有しているA社と、個人データ*を持っているB社があったとします。前提として、A社では顧客の購買履歴を保有していますが、ID=1の人がミルクティー、おにぎり、アンパンを購入しているということはわかっても、それが誰なのかはわかりません。一方B社では、IDに紐づいた個人データを保有しており、「山田一子さん、55歳」の情報がID=1で管理されています。そして、A社とB社では共通のIDを使っている状態です。

この前提において、A社が保有していた個人関連情報をB社(第三者)に対して提供します。すると、A社とB社はID共通のIDを使っているため、B社がもともと持っていた個人データとA社がB社に対して送付した購買履歴がIDをキーとして紐付くことになります。結果としてB社では、山田一子さんがミルクティー、おにぎり、アンパンを購入していたという情報を取得できてしまうことになりますので、A社から送付された時点では個人関連情報であった購買履歴が、B社では個人データとして取得されることになります。

個人関連情報の第三者提供についての新たな規制は、このようなケースを想定しています。A社のように個人関連情報を保有している企業が、B社のように個人データを保有している企業に対してデータを第三者提供する際、B社において個人データとして取得されることが想定される場合は、本人の同意を取得する必要があります。

※1:個人情報を体系化したデータベースを構成する個人情報のこと。つまりデータベースとして管理されている個人情報を指す。

 

個人関連情報の取得時に同意が必要なケースと取得方法は?

 それでは、個人関連情報の取得時に同意を取得しなければならないケースにおいて、どのような方法で本人同意を取得すれば良いのでしょうか。

個人情報保護法では、本人から同意する旨を示した書面を受領する方法、本人から同意する旨を示した電子メールを受領する方法、本人に確認欄へのチェックを求める方法などが認められています。実際に本人同意を取得する場合は、ウェブサイト上で行うことが一般的になると思われますが、ガイドラインでは注意点として「ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンクリックを求める方法等によらなければならない」と明記されております。つまり、従来のプライバシーポリシーによくみられる「オプトアウト型」では不十分で、下図のようなポップアップを表示し、本人の「同意する」という能動的なアクションの元、同意を取得する必要があります。


(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)」https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

ポップアップは企業で自前のシステムで実装することも可能ですが、データを授受するベンダーとの連携や広告配信プラットフォームとの連携など、整理しなければならない課題は多く、自前で開発するための十分なリソースを持った企業は多くありません。そのため、欧州ではCMP(Consent Management Platform)を活用して本人同意を取得することが一般的です。

DACではCMPの導入サポート、個人情報保護法対応のコンサルティングを提供しておりますので、ご興味がある方はぜひご連絡ください。

 

まとめ

 本記事では、改正個人情報保護法の改正ポイントについて解説しましたが、いかがでしたでしょうか?仮名加工情報、個人関連情報が新設され、個人関連情報を第三者提供する際に新たなルールが追加されたという大枠はご理解いただけたかと思います。

DACでは企業が改正個人情報保護法対応についてサポートさせていただくための各種サービスを取り揃えております。ぜひお気軽にご相談ください。

次回は本内容を踏まえ、改正個人情報保護法がデジタルマーケティングの実務にどのような影響を与えるのか、という点について解説いたします!

 

関連URL

お問い合わせ

RECOMMEND関連記事


RECENT POST「広告主向け」の最新記事


この記事が気に入ったらいいねしよう!