ビジネス
2022.05.25
2022年4月施行!改正個人情報保護法におけるWEBサイトへの影響や対策を解説
日本国内では、プライバシーへの意識の高まりや国際的な動向を踏まえて、
2022年(令和4年)4月1日より「改正個人情報保護法」が全面施行され、 更なるデータ保護の厳格化が進んでいます。
昨今、企業のWEBサイトにおける不正アクセスによる個人情報漏えいのニュースが多く、
プライバシーの侵害が問題視されています。
本記事では、先月施行されたばかりの改正個人情報保護法で
企業側が留意すべき6つのポイントや WEBサイトにおいて求められる対策などを解説します。
法改正の背景
「個人情報保護法」は、個人の権利と利益を保護することを目的として、 2005年(平成17年)4月から施行された法律です。
制定から約10年を経て2015年(平成29年)にはネットワークの急激な発展に伴い、 最初の見直しが図られました。
その際に、3年ごとに個人情報保護法の見直し規定が盛り込まれ、
2020年(令和2年)には「3年ごと見直し規定」に基づく法改正が初めて行われ、 2022年4月1日に施行されました。
6つの改正ポイント
改正個人情報保護法のポイントは主に6項目あり、それぞれ順に詳しくみていきましょう。
Point1.個人の権利保護の強化
これまでは本人が保有個人データの利用停止や消去を請求できるのは、
目的外利用されたときと不正な手段で取得されたときに限られておりましたが、
今後は保有個人データの開示方法を 従来の書面での交付に加えて電磁的記録(デジタルデータ)での提供を含め
本人が指示が出来ることと
保有個人データの授受に関する第三者提供記録を本人が開示請求が出来る等 個人による請求権の範囲が拡充されました。
利用停止や消去等の個人の請求権の範囲に関しては、既存のものに加えて以下の要件が追加されています。
・不適正な利用がなされた場合
・個人データを利用する必要がなくなった場合
・個人データの重大な漏えい等が生じた場合
・本人の権利又は正当な利益が害される恐れがある場合
また、これまで6ヶ月以内に消去するデータは開示・利用停止の対象外でしたが、
短期間であっても多大な損害が生じる可能性があるため、
6ヶ月以内に消去するデータ(短期保存データ)も、保有個人データとして含めることとなりました。
Point2.公表事項など事業者の責務の追加
漏えい等が発生し、個人の権利利益を害する恐れがある場合に、
個人情報保護委員会への報告及び本人へ通知義務を課すことが新たに追加されています。
企業側は、発生した問題の影響力を考慮してリスク管理のために公表時期を見計らいながら、
Webサイト、資料配布を通じた報道機関への発表、記者会見の実施を例に、
いずれかの手段で周知させることが必要です。
Point3.事業者による自主的な取り組みの推進
これまでは個人情報保護に関する取り組みは、
個人情報保護委員会と委員会が認定する事業分野単位の民間の「認定団体」を通じて業務を行ってきました。
今回は、企業の特定分野・部門を対象とする団体も「認定団体」として広く登録できるようになりました。
このように変更されたことにより、 分野ごとの事業者の自主的な個人情報保護への取り組みの推進を図ることが可能になりました。
企業側は苦情処理において、この認定団体が第三者機関として関与することで、
迅速な問題解決が期待出来るといった効果も見込めます。
認定個人情報保護団体とは: https://www.ppc.go.jp/personalinfo/nintei
Point4.データ利活用の促進
データ利活用の促進に向けて、 仮名加工情報制度の創設と義務の緩和、個人関連情報の第三者提供規制が適用されることになりました。
●仮名加工情報制度
個人を特定できないように個人情報を加工する場合、加工前の情報と同等に様々な制約が課されていました。
しかし改正後は、イノベーションを促進する観点から「仮名加工情報制度」を新たに設けて、
氏名等を削除して、他の情報と照合しない限り特定の個人を識別出来ないように個人情報を加工した場合は、
企業側での内部分析へ利用することを条件に、開示・利用停止請求への対応等の義務が緩和されました。
仮名加工情報は、個人を識別出来ないようにするだけでなく、
財産的被害が発生するおそれのある記述も併せて削除する必要があり、
例えば、クレジットカード番号や会員ID・パスワードなど、
不正利用の可能性がある情報を削除又はランダム性にあるものに置き換えを行う必要があります。
●第三者提供規制
提供先において個人データとなりうる情報を第三者が取得している可能性がある場合、
本人の同意が得られているか等の確認を義務付けられることになりました。
例えば、Cookie(クッキー)など識別子を通じて収集された情報が挙げられます。
紐付かれた他の情報(閲覧履歴・購買履歴)と照合されることにより
容易に個人を識別することが出来てしまう場合があるので、
取り扱いには細心の注意を払わなければいけません。
Point5.ペナルティの強化
委員会に対する措置命令違反、報告義務違反、個人情報データベース等の不正利用をした場合の
個人及び法人に対する罰則規定が強化されています。
罰金額は法人は措置命令違反とデータベースなどの不正利用で最大で1億円の上限が設けられており、
個人情報を取り扱うすべての事業者が対象となります。
組織自体に多大なダメージを与えるので、 問題が発生しないように常日頃からセキュリティに対する意識を高めておく必要があります。
Point6.越境移転に関する情報提供の拡充
海外企業であっても日本国内にあるものに係る個人情報等を取り扱っているのであれば、
報告徴収・命令の対象とされ、罰則も適用されることになりました。
また、移転先の外国事業者における個人情報保護の取り扱いを例に、 本人への情報提供義務が課され、
より一層個人情報の保護が強化されています。
そのためグローバル的に事業展開している企業側が海外の第三者の企業に対して個人データを提供する際には、
本人への情報提供義務が発生するので要注意です。
法改正に伴いWEBサイトにおいて企業側が取るべき対策とは
以上、法改正に伴い注目すべき6つのポイントを見てきました。
各企業においてコーポレートサイトや採用サイト、LP(ランディングページ)等
多種多様なサイトが展開されておりますが、
今回の法改正によってWEBサイトにおいて従来の施策を見直す必要があります。
下記のように、サイトが保有する個人情報の範囲では、
Cookieとプライバシーポリシーを再検討していくことをおすすめします。
Cookie
前述したように、WEBサイトの仕組みであるCookieも今回の規制対象に当てはまります。
Cookieとは、WEB上で利用するページの閲覧履歴や購入履歴等の個人情報が、
ブラウザで一時的に保存される便利な仕組みのことを指します。
※Cookieについては以下の関連記事からぜひご参照くださいませ。
🔍 関連記事:「cookie規制化によるWEBサイト制作への影響って?」について詳しく見る
これまで規制の対象とされていなかった閲覧履歴等の第三者提供について、
個人関連情報を他社に提供する際には本人の同意が必要なことが新たに明記されました。
個人関連情報として、Cookieなどの識別子に紐付けられた
サイトの閲覧履歴やサービスの利用履歴、商品の購買履歴などのデータが該当します。
データ提供先の第三者が個人関連情報を本人が識別される個人データとして取得・利用する場合には、
利用についての本人の同意を得ることが求められます。
これまで曖昧だったCookieの取り扱いに明確な義務が課されました。
対策として、まず自社で取り扱っているデータの利用状況や提供先を明確に把握して、
自社が規制の対象なのかどうかを適切に判断する必要があります。
加えて、WEBサイトやアプリなどに連携しているツール(MAツール・分析ツール)も対象となり、
提供先の代表例がGoogle Analyticsです。
改めて見直しを行い、もしマーケティング活用を行なっている場合は対応が必須です。
サイト上でCookie取得の同意を求めるスタンダードな方法として、
Cookieポリシーの作成とポップアップ対応が挙げられます。
EUで施行されたGDPR(一般データ保護規約)の影響により、
徹底的な取り組みをしている欧州のサイトでは顕著に見られます。
特に日本企業でEUと関連したサービスを行なっている場合は、早急に対応すべき事項だと言えるでしょう。
また、ポップアップの実装に関しては、
Cookieの提供をユーザー側で選択の余地があるようにすることが大切です。
具体的には、Cookieを付与する前のサイトに訪問した最初のタイミングでバナーを表示させて、
ユーザーの同意を求める形式が望ましいです。
企業の信頼も損ねないためにも、
拒否出来ない、同意しないと閲覧出来ない、拒否手続きが面倒などの方法は避けるのが賢明です。
実際にCookieに対応している企業の事例をご紹介します。
参考:NTTデータ https://www.nttdata.com/jp/ja/
Cookieポリシーとポップアップ対応がなされています。
プライバシーポリシー
次にプライバシーポリシーを改訂するにあたって、
以下の項目を参考に適切な内容にすることが求められています。
・利用目的、利用の範囲
個人情報をどのように利用するのか目的や範囲について具体的に記載します。
・公表等事項の追加
事業者の名称、住所、法人代表者氏名などを記載します。
・仮名加工情報の追加
利用する場合は、仮名加工情報について記載します。
※仮名加工情報…他の情報と照合しない限り特定の個人を識別出来ないように個人情報を加工したもの。
・安全管理措置の内容
個人情報を適切に管理するため、どのような安全管理措置を講じているのかについて記載します。
・共同利用の目的、通知
共同利用とは自社で収集した個人データを他社へ提供することを指します。
共同利用を行う旨について記載します。
・開示、訂正、利用停止等の手続き
本人の請求権の範囲の拡大に伴い、開示や訂正、利用停止等に必要な手続きについて記載します。
・Cookieによる情報収集、取得への同意
Cookieを通じて個人情報に紐づく情報を収集・取得する場合の目的について記載します。
実際に2022年4月1日にプライバシーポリシーを改訂した企業の事例をご紹介します。
参考:松竹株式会社 https://www.shochiku.co.jp/privacy/
上記の項目について手が加えられています。
参考サイトのように、サイト内でのプライバシーポリシーの設置場所については、
トップページから1回の操作で到達できる場所へ掲載することが推奨されており、
基本的にはサイト下部のフッターにリンクを設置することが多いです。
今一度、適切な内容になっているのか見直しを検討してみてはいかがでしょうか。
最後に
今回の法改正により新たなガイドラインに沿って個人情報を取り扱うことが義務付けられました。
WEBサイトにおいては、Cookieやプライバシーポリシーへの対応は多くの企業で必要な事項だと考えます。
今後さらに規制が厳格化することが予想されるため、
常日頃からセキュリティリスクへの意識を高めておくだけではなく、
プライバシー保護に対応できる体制・仕組みを整えることを心掛けておきましょう。