【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
2022年4月に施行される個人情報保護法の改正。これまで、改正法の6つのポイントやプライバシーポリシーに絞って解説いたしました。今回は、「個人関連情報における提供規制への対応」「オプトアウト規制強化への対応」「不適正利用の禁止への対応」について、お伝えいたします。
【資料ダウンロード】>>資料ダウンロード一覧へ
\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |
社内規程の見直しが求められる
今回の法改正は、個人情報における個人の権利の拡大と企業活動における利活用の促進、そして規制強化がポイントです。これまで通りに個人情報を扱っていると意図せずに法に抵触してしまう可能性もあり、特に現状で多くの個人データを保有している企業は、このタイミングで社内の個人情報保護規程の見直しや規程の改訂が求められます。
1. 個人関連情報における提供規制への対応
まずは、今回の改正法で企業によっては実務に大きく影響する個人関連情報の提供規制について説明します。データの利活用が必須である昨今においては、個人情報ではない個人関連情報についても対応が求められます。
改正の背景
近年、DMP(Data Management Platform)と呼ばれる閲覧履歴等の収集・蓄積・統合・分析を行うプラットフォームが普及してきている中、個人情報ではないデータを、提供先において他の情報と照合することで個人データとなることを知りつつ、本人の同意等を得ずに第三者へ提供するというような事例(通称:リクナビ問題)が発生し、改正のきっかけとなりました。
概要
「個人関連情報」とは、“生存する「個人に関する情報」であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。”と定義されています。例えばcookieなどの識別子が挙げられますが、その他、該当する事例として以下が挙げられます。
【個人関連情報に該当する事例】
- 事例 1)Cookie 等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
- 事例 2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
- 事例 3)ある個人の商品購買履歴・サービス利用履歴
- 事例 4)ある個人の位置情報
- 事例 5)ある個人の興味・関心を示す情報
改正法では、個人関連情報が取得時点で個人情報でなくても提供先で他の情報と照合して個人情報として取得することが想定されている場合、提供元で本人の同意を得ることが義務付けられることとなりました。現行法ではなかった規制のため、新たな対応が求められます。
あくまで提供先で個人情報として扱うことが想定されている場合にのみ適用されますが、今後は個人関連情報取得時であっても、その先の情報提供経路を予め想定した対応をとらなければなりません。ガイドラインで「提供先で個人情報として扱うことが想定される場合」の事例が公表されていますので、以下を確認しておくと良いでしょう。
事例 1)提供元の個人関連情報取扱事業者が、顧客情報等の個人データを保有する提供先の第三者に対し、ID等を用いることで個人関連情報を個人データと紐付けて取得することが可能であることを説明している場合
事例 2)提供元の個人関連情報取扱事業者が、提供先の第三者から個人関連情報を受領した後に個人データと紐付けて取得することを告げられている場合
実務対応ポイント
まずは自社の業務において、「個人データとして取得することが想定される※1」個人関連情報を洗い出し、特定を行います。 それらの個人関連情報において、以下のような項目を見直しましょう。
【項目】
- ・社内フロー
- ・書類の作成(商談段階でのチェック事項リスト)
- ・社内のエスカレーションフローの確認
- ・契約書(約款)雛型
- ・記録フォーム等
上記の様な項目を中心に本人同意取得の体制や充分性を見直し、必要に応じて改訂を行いましょう。また、提供時の記録と保存の義務が課せられていますので、対応フローの構築も必要となります。
※1「個人データとして取得する」とは提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合をいう。
抑えておきたいポイント
“改正法施行時の洗い出し”だけでなく、その後の自社にとっての個人関連情報の取り扱いにおいての“新たな取り組みや・データ/フローを想定し、漏れなく把握すること”が肝心となります。
オプトアウト規制強化への対応
次に、オプトアウトにまつわる変更事項を見ていきましょう。
改正の背景
2017年の個人情報保護法改正で新設されたオプトアウト規定ではありましたが、現行の制度がさらに見直され「本人がオプトアウトすることが困難となる事態(例えば個人情報の利用停止をすることが困難)を防ぐために設けられた定め」といえます。
元々の個人情報保護法では、オプトアウトは対象に限定なく幅広く認められていましたが、 2017年の法改正で「要配慮個人情報」が新設されたのを受け、「要配慮個人情報」はオプトアウト禁止となり、今回の法改正で、オプトアウト禁止対象が、さらに拡大したという流れになります。
概要
(改正前)
“要配慮個人情報だけ”がオプトアウト規定で第三者に提供できませんでした。
※オプトアウト規定:本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等したうえで、本人の同意なく個人データを提供できる制度のこと。
(改正後)
改正前の制限に加え、「不正取得された個人データ」や「オプトアウト規定により提供された個人データ」についても、オプトアウト規定で第三者に提供できなくなりました。
これまでのオプトアウト規定では、予め本人に対して「個人情報を第三者提供する」という利用目的を明示しつつ、「本人の希望によりいつでも第三者提供の停止が可能」ということを事前通知しておけば問題ありませんでしたが、今回の改正法ではオプトアウト規定で取得した個人データをさらにオプトアウトで第三者提供することが禁止となりました。いわゆる、オプトアウト規定に基づく第三者提供の範囲が小さくなったということになります。
実務対応ポイント
該当する企業は少ないかと思われますが、自社でオプトアウト規定を利用し、個人情報保護委員会に届け出を行っている事業者であれば、今回禁止となる情報を提供しているかどうかを確認し、改正法に合わせた対応を検討します。禁止されている個人データを扱っている場合は、別の方法で対応可能か検討しなければなりません。
また、視点を変えると、「第三者から個人データの提供を受ける場合」は、その提供を受ける個人データが、改正後のオプトアウト規定の禁止対象とされたものでないか、確認するようにしましょう。
もし「提供を受ける個人データがオプトアウト規定の禁止対象であったとき」は、その提供を受ける前に、本人からきちんとオプトインの方法で同意を受けているかを確認しましょう。
不適正利用の禁止への対応
改正法では個人情報の不適正利用禁止が追加されました。
改正の背景
現行法では、”不適正利用の禁止”について、明文化されていませんでした。その為、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、適切でない方法で個人情報が利用されている事例(通称:破産者マップ事件)が発生し、改正のきっかけとなりました。
概要
現行法では、個人情報の不適正な「取得」は禁止されていましたが、不適正な「利用」については明記されておらず、これまでグレーゾーンとなっていました。
今回の改正法でその部分について初めて言及され、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならない」と定義されています。
違法な行為の具体的な事例として以下が挙げられています。
事例 1)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合
事例 2)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
事例 3)広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合
実務対応ポイント
個人情報取り扱い事例をすべて洗い出し、違法又は不当な行為がないかを確認する必要があります。ただ、「違法又は不当な行為を助長し、又は誘発するおそれがある」行為の判断を行うのは難しいと言えます。第三者が見て社会通念上、不自然を感じる利用かどうか、本人から見てそれが予測可能かどうかを一つの基準にすると良いでしょう。
個人情報保護法対応を含む情報セキュリティ全般をサポートしてくれるおすすめのサービス
上記の個人情報保護法改訂にかかる対応は、企業として根拠ある対応が求められます。社内に専門部署がない場合、外部のコンサルタントに依頼するケースも少なくありません。そこで今回は、おすすめの情報セキュリティサービス「Coach MAMORU」をご紹介します。
経験豊富な専門コンサルタントが、企業の情報セキュリティ教育・コンサルティングを提供するサービスとして多くの企業に利用されています。最新の法改正を踏まえたうえで、企業が抱える情報セキュリティ課題に対し柔軟かつ適切にコンサルティングを行うのが特徴です。改正個人情報保護法にお悩みの担当者は一度相談してみてはいかがでしょうか。
これまで以上に徹底した個人情報対応を
今回の法改正では、個人情報に対する規制や罰則の厳格化が進んだと言えるでしょう。企業はこれまで以上に個人情報の取り扱いに配慮し、不正行為を犯さないように取り組まなければなりません。正確な対応を行うためにも、今回ご紹介した専門のコンサルティングサービスも選択肢の一つとして考えてはいかがでしょうか。
Pマーク取得企業も新たな「構築・運用指針」に対応した運用を
今回の改正個人情報保護法に合わせて、Pマーク取得企業も新たな「構築・運用指針」に対応していかなければなりません。次の審査まで時間に余裕があったとしても、2022年4月以降は新たな基準での運用が求められています。Pマーク取得企業は今回の対応を「個人情報に対する意識向上」の好機だととらえ、積極的に進めていきましょう。
個人情報保護法改正(2022年4月施行)関連記事
第1回【2022年4月施行】個人情報保護法改正、6つのポイントとは?
第2回【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
第3回【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
第4回【2022年4月施行】個人情報保護法改正、開示請求のポイント
第5回【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
第6回【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
第7回【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
第8回【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
第9回【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
第10回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
第11回【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)
【資料ダウンロード】>>資料ダウンロード一覧へ
\これだけは抑えておきたい/「改正個人情報保護法対応チェックリスト」 |
