※2021年11月8日更新
前回のブログ記事「2022年施行!いまさら聞けない、改正個人情報保護法のキホン」では、個人情報保護法について、なぜ改正されるのか、いつ改正されるのか、なぜ注目を集めているのか、というポイントについて解説しました。
現在は改正個人情報保護法のQ&A等が更新され、2022年4月1日の法改正についてその全貌が見えてきています。そこで、本記事では改正個人情報保護法のポイントを紐解きながら、企業にとってどのような影響があるのかを解説します。
改正個人情報保護法の主な改正点
2022年施行の改正個人情報保護法における主な改正点は、以下8つのポイントがあります。
- 漏えい等報告・本人通知の義務化
- 外国にある第三者への提供
- 保有個人データの開示方法
- 個人データの利用の停止・消去等の請求
- 公表等事項の充実
- 不適正利用の禁止
- 個人関連情報
- 仮名加工情報
中でも企業のデータ活用において重要なポイントは、最後の2点です。
・仮名加工情報の新設
・個人関連情報の新設
そこで本日はこの2点に絞って、どのような改正が行われるのか、それぞれ解説をしていきます。
(出典)令和2年改正個人情報保護法 特集 |個人情報保護委員会
(令和2年改正個人情報保護法 主な改正ポイント)https://www.ppc.go.jp/news/kaiseihou_feature/
仮名加工情報の新設
仮名加工情報とは ー 匿名加工情報との違い
仮名加工情報とは「他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報」です。これが今回の改正法で新設されました。
似たものとして、2015年の法改正で導入された匿名加工情報がありますが、匿名加工情報は「加工元の個人情報を復元することができないように加工された個人に関する情報」であるのに対し、仮名加工情報は「他の情報と照合しない限り特定の個人を識別することができない」という定義になっているため、加工の要件が少し緩和されています。
(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(仮名加工情報)」https://www.ppc.go.jp/files/pdf/201127_shiryou-1.pdf
仮名加工情報新設の目的と制限
仮名加工情報新設の狙いは、「一定の安全性を確保しつつ、データとしての有用性を加工前の個人情報と同等程度に保つことができるように、匿名加工情報に比してより簡便な加工により得られる新たな個人情報の類型を設けることで、イノベーションの促進を図る点にある」と個人情報保護委員会の資料に記載があるように、企業によるデータ活用を促進し、産業の発展を促すことです。そのため、企業は個人情報を仮名加工情報に加工して活用することで、個人情報の取扱いに際して課される各種義務(利用目的変更の制限や漏洩時の報告・本人通知、開示や停止への対応など)が免除されています。
仮名加工情報には加工・取扱いの要件緩和がある一方で、当然制限もあります。注意が必要なものとして、通常の個人データは本人同意を得た上で第三者に提供することが可能ですが、仮名加工情報である個人データについては、本人同意を得ても第三者に提供することができません(法令に基づく場合を除く)。
個人関連情報の新設―第三者提供時の規制について
個人関連情報とは
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を意味します。つまり下図のように、個人情報、仮名加工情報、匿名加工情報のどのカテゴリにも該当しなかったもの、という消極的な定義がされています。
個人関連情報に該当すると考えられる具体的なものとして、氏名と結びついてないネット閲覧履歴、位置情報、クッキー情報等が想定されています。今までクッキーによって取得される情報は個人情報保護法の対象ではありませんでしたが、今回の改正法では個人関連情報としてカテゴライズされることになりました。
個人関連情報の第三者提供時の規制
個人関連情報については重要なルールが追加されています。それは、「提供元では個人データ(※1)に該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける」というものです。
これはどのような規制なのか、下図を使って説明します。
(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf
まず、個人関連情報を保有しているA社と、個人データ*を持っているB社があったとします。前提として、A社では顧客の購買履歴を保有していますが、ID=1の人がミルクティー、おにぎり、アンパンを購入しているということはわかっても、それが誰なのかはわかりません。一方B社では、IDに紐づいた個人データを保有しており、「山田一子さん、55歳」の情報がID=1で管理されています。そして、A社とB社では共通のIDを使っている状態です。
この前提において、A社が保有していた個人関連情報をB社(第三者)に対して提供します。すると、A社とB社はID共通のIDを使っているため、B社がもともと持っていた個人データとA社がB社に対して送付した購買履歴がIDをキーとして紐付くことになります。結果としてB社では、山田一子さんがミルクティー、おにぎり、アンパンを購入していたという情報を取得できてしまうことになりますので、A社から送付された時点では個人関連情報であった購買履歴が、B社では個人データとして取得されることになります。
個人関連情報の第三者提供についての新たな規制は、このようなケースを想定しています。A社のように個人関連情報を保有している企業が、B社のように個人データを保有している企業に対してデータを第三者提供する際、B社において個人データとして取得されることが想定される場合は、本人の同意を取得する必要があります。
※1:個人情報を体系化したデータベースを構成する個人情報のこと。つまりデータベースとして管理されている個人情報を指す。
個人関連情報の第三者提供時の同意取得方法とは
それでは、個人関連情報を第三者提供する場合、どのような方法で本人同意を取得すれば良いのでしょうか。
個人情報保護法では、以下のような方法が定められています。
- 本人から同意する旨を示した書面を受領する方法
- 本人から同意する旨を示した電子メールを受領する方法
- 本人に確認欄へのチェックを求める方法 etc...
実際に本人同意を取得する場合は、Webサイト上で行うことが一般的になると思われますが、ガイドラインでは注意点として「Webサイト上で同意を取得する場合は、単にWebサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でWebサイト上のボタンクリックを求める方法等によらなければならない」と明記されております。
つまり、従来のプライバシーポリシーによくみられる「オプトアウト型」では不十分で、下図のWebサイトのイメージにあるようなポップアップを表示し、本人の「同意する」という能動的なアクションの元、同意を取得する必要があります。
(出典)個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について
(個人関連情報)」https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf
ポップアップは企業で自前のシステムで実装することも可能ですが、データを授受するベンダーとの連携や広告配信プラットフォームとの連携など、整理しなければならない課題は多く、自前で開発するための十分なリソースを持った企業は多くありません。そのため、欧州ではクッキー管理同意バナー(CMP:Consent Management Platform)というツールを活用して本人同意を取得することが一般的です。
DACではCMPの導入サポート、個人情報保護法対応のコンサルティングを提供しておりますので、ご興味がある方はぜひご連絡ください。
関連ページ
- クッキー同意管理バナー(CMP)【サービス紹介】
- クッキー同意管理バナーはなぜ必要?同意の取得・管理に対応するCMPツールとは【ブログ】
- データ規制の最新動向に基づいたマーケティングの実現を支援|CMP導入コンサルティングサービス【ブログ】
- 【リリース】DAC、同意管理プラットフォーム(CMP)の導入コンサルティングサービスを開始
まとめ
本記事では、改正個人情報保護法の改正ポイントについて解説しましたが、いかがでしたでしょうか?仮名加工情報、個人関連情報が新設され、個人関連情報を第三者提供する際に新たなルールが追加されたという大枠はご理解いただけたかと思います。
DACでは企業が改正個人情報保護法対応についてサポートさせていただくための各種サービスを取り揃えております。ぜひお気軽にご相談ください。
次の記事では本内容を踏まえ、改正個人情報保護法がデジタルマーケティングの実務にどのような影響を与えるのか、という点について解説しています!ぜひご覧ください。
