ご自身のWEBサイトの対策が分からない方、まずはご相談ください

2022年4月に個人情報の取り扱いが変わります。今回の改正の中で企業にとってどんな対処が必要になるのか、いくつかある改正内容の中で、今回は4つの変更点に絞って以下にひとつひとつ解説をしていきたいと思います。

まずその前に、そもそも個人情報とは何を指すのでしょうか？以下に定められています。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二 個人識別符号が含まれるもの

※引用：個人情報保護委員会事務局「改正個人情報保護法の基本」

読んでみてもとても難しいのですが、大雑把にまとめると以下の情報を個人情報と見なし定義されています。他にも該当するもの存在しますので、以下で全てではございません。

1. 特定の個人を識別できる情報
   （名刺の記述情報、会社保管の従業員情報、医療カルテ、顔写真　等）
2. 他の情報と容易に照合することで個人を特定できる情報
   （電話番号＋個人名、生年月日＋個人名　等）
3. 個人識別符号が含まれる情報
   （指紋データ、旅券番号、基礎年金番号、免許証番号、マイナンバー　等）

何となく個人情報が何を指しているのか理解が深まりましたでしょうか？
それでは、続いて今回の改正個人情報保護法で何が変わるのか、企業として何をすべきなのか順を追って解説していきます。

冒頭でも説明した通り、本記事では、今回の改正で変更となる４つの改正ポイントに焦点をあてて解説していきます。

改正ポイント①｜個人の権利保護が強化される

利用停止・消去請求権、第三者への提供禁止請求権の要件緩和

現行法では、これまで利用停止や個人情報の消去などの請求は、法令違反の場合時に限られていましたが、それ以前の段階でも事業者に対し請求できるようになりました。
例えば、ダイレクトメール等の送付停止を依頼後、追加で個人情報自体の消去依頼や、個人情報の取扱いに十分な管理が講じられていないと思われる事業者に対して、消去を依頼する事が出来るなど、現行法の要件を緩和して、本人の権利又は正当な利益が害されるおそれがあるときでもデータの利用停止や消去、第三者への提供禁止を事業者に請求できるようになりました。

保有個人データ開示のデジタル化推進

保有個人データの開示方法について、現行法では、開示方法について書面による交付が原則とされていました。しかし今回の改正でデジタルデータの提供を含め、本人が指示できるようになりました。

最近は、音声データや動画データなど書面で対応する事がそもそも不可能なデータも存在するため、そちらに対しての対応と考えて良いかと思います。

開示等の対象となる保有個人データの範囲の拡大

現行法では、クッキーなど、6か月以内に消去される短期保存データは、「保有個人データ」に含まれない。とされていましたが、「保有個人データ」に含まれることになり、このデータも開示請求および利用停止や消去、第三者への提供禁止を事業者に請求できる対象となりました。

オプトアウト規定により取得した個人データの第三者提供を制限

現行法では、オプトアウト規定により取得したデータは、一般的に第三者提供を認められておりましたが、不正取得された個人データやオプトアウトにより得た個人データを第三者に提供ができなくなりました。

オプトアウト（クッキー機能の停止）規定とは・・・本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等したうえで、本人の同意なく個人データを提供できる制度のこと。

こちらは、後に説明する「改正ポイント3│データの利活用が促進される」にも関わる項目となりますが、最近よく見かけるホームページ上でのクッキー同意を得ようとするバナーは、この項目を遵守するための個人情報取得側（企業）の対応となります。

上記2項目によって、クッキーデータを取得してマーケティング活動等を行っている企業などは、特に取り扱いの注意が必要になります。また、同時にホームページ内に表示させている、「プライバシーポリシー」や「個人情報保護方針」などのページ内容も修正する必要あるかもしれませんので、ご自身お持ちのサイトの該当ページもそちらに即しているかも確認をする必要があります。

→クッキー同意バナーの設置サンプルをみる

クッキー同意バナーの設置承っております

改正ポイント2│事業者の義務が強化される

漏えい時の報告義務

漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知を迅速に報告する事が義務化されました。そのため、今まではサイト上だけで公表で済んでおりましたが、それがより厳格化されたことになります。
なお、暗号化などによって権利利益保護のために必要な措置が講じられている場合などについては、漏えい等が生じたとしても個人情報保護委員会への報告・本人への通知は不要です。

不適正な個人情報利用の禁止

改正法では個人情報取扱事業者の個人情報の不適正な利用の禁止義務が明文化されました。不適正な利用とは、違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を指します。
弊社のような広告配信を行っている事業者が、広告配信依頼を受けた商品自体違法な商品であることが予見できるにもかかわらず、自社で取得した個人情報を利用する場合などがそれにあたります。
ここは、企業内にて研修や勉強会等実施するなどして社員一人一人に対し、個人情報への管理や取扱いに関して正しい知識や不正防止の意識を高めていく必要があると思います。

改正ポイント3│データの利活用が促進される

仮名加工情報について義務を緩和

仮名加工情報とは「他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報」の事で、俗にいうビッグデータと呼ばれているデータの事です。
氏名・性別・年齢のデータを持っていた場合、氏名を記号等に置き換えておけば、性別・年齢だけでは個人を特定する事はできません。仮名化することで、安全性を保持しつつもデータの利活用がしやすくなるといったメリットもあります。

提供先で個人データとなることが想定される場合の確認義務

ただし、個人に関連する情報を第三者へ提供した後、第三者提供先において、クッキーなどの識別子情報単体では、個人を特定できないもののその他のデータと照合する事で個人を特定出来てしまうことが想定されます。その場合、第三者へ個人データの提供の際に提供元が提供先に対して本人の同意を得ておく義務が新しく追加されました。
例として、MAツールなどの利用やリターゲティング広告等の活用している企業では、事前にクッキーデータの取得、活用目的について同意を得ておく必要があります。最近よく見るクッキー同意バナーがこれに該当します。

WEBサイトで取り扱っている情報が「個人情報」に当たるのか分からない方
当社の無料相談へお申込みください

改正ポイント4│ペナルティが強化される

改正法では、法人に対しての罰金刑の上限額が現行法より大幅に引き上げられました。とはいえ、ペナルティは、結果論になりますので、企業としては、いかに情報漏えいをしないよう体制づくりと対策を行う事が何よりも重要かと思います。

	改正前	改正後
個人情報保護委員会からの命令違反	30万円以下	1億円以下
個人情報保護委員会への虚偽報告	30万円以下	50万円以下
個人情報データベース等の不正流用	50万円以下	1億円以下

まとめ

2022年4月に改正される個人情報保護法について4つのポイントに絞って解説しました。いかがだったでしょうか？まだまだ理解しづらい点もあるかと思いますが、企業にとって、個人情報の取扱いについてもっと厳格に対応が迫られます。
そのため、情報漏えい等のリスクヘッジは当たり前の義務となり、得た個人情報は、より安全に且つ適正に管理を行っていく必要がある事は間違いありません。

参考にさせていただいたサイト

個人情報保護委員会
https://www.ppc.go.jp/news/kaiseihou_feature/

KEIYAKU-WACH
https://keiyaku-watch.jp/media/hourei/kojinjyouhouhogohouishohou202101