2020年6月5日に改正個人情報保護法改正法案が可決・成立し、6月12日に公布されました。施行時期は2021年後半から2022年前半が予想されています。
個人の権利の在り方の改正から外国企業に対する越境移転の在り方に至るまで改正点は多岐に渡ります。
そこで株式会社クリアテック(本社:東京都港区)ではデータガバナンスや個人情報を管理するシステムの利用や構築の観点から、改正点について解説します。
今回の改正ポイント説明
⚫ 個人の権利の在り方
改正個人情報保護法では、個人の権利の在り方について、改正がありました。
二十八条の改正により企業が保有している個人データについて、本人が求める方法で示すことが求められるようになりました。従来は主に書面でのみのやり取りでしたが、本人の要求によってはシステムなどからデジタルデータとして見られるようにすることが求められるようになりました。また、業者間など個人情報の受け取り関する記録なども、本人が要求すれば見ることが可能になりました。
三十条の改正により、オプトアウト規定(※補足1)により他者に渡すことの出来る個人データが制限され、渡す場合は、本人への通知を行う必要があります。
これらの改正により、個人情報を預かる企業ではシステムなどによって、企業が持っている個人情報や他の企業などへ個人情報を提供した記録などを速やかに見せることが出来るよう対応しなければなりません。
また、他の企業などへ個人情報を提供する場合は、本人が提供に同意したという情報や、個人情報の受け渡しに関する記録などについてもシステムなどで適切に管理し、個人情報保護委員会への届け出や本人による開示の要求についても対応できなければなりません。
例えば、行動ターゲティング広告などに広く使われているブラウザのクッキーの扱いについて、現状では、本人のクッキーが取得された後に、オプトアウトサイトにアクセスし、事業者によるクッキーの利用や提供を停止させる仕組みとなっています。
改正後は、クッキーやIPアドレス等の個人関連情報に紐づけられた閲覧履歴や趣味嗜好のデータベースが個人情報に該当すると考えられるようになりました。つまりクッキーは個人情報であるため、事業者などはクッキーの取得を行う「前」に本人に明示的な形式で同意を得、その情報を記録しておくことが必要になりました。
(※補足1)
提供する個人データの項目を公表等した上で、本人の同意なく第三者に個人データを提供できる制度のこと。
⚫ 事業者の責務の在り方
改正個人情報保護法では、データを管理する事業者の責任について、より重い責任が課させるようになりました。情報漏洩時に、個人情報保護委員会への報告はもちろん、本人への報告も義務化されました。
また、データの利用の仕方にも規制が追加され、本人の権利を侵害するようなデータの利用が明確に禁止されました。法令に違反した場合の罰則も強化され、データベース等不正提供罪、委員会による命令違反の罰金について、最高で一億円の罰金が課されるようになりました。事業者には今まで以上に個人情報の厳格な運用が求められるようになります。
データー利活用に関する施策の在り方
個人情報の受け渡しや管理に対する責任が厳格になる一方、保有している個人データの利用については制限が緩和されています。
二条の改正により、「仮名加工情報」という言葉が追加されました。この仮名加工情報とは、様々な情報と組み合わせることで特定の個人を識別することができる情報を指します。
例えば、「40歳、男性、◯◯市在住」などの情報の他、電話番号なども加工せずに残しておいて良い情報、と考えられます。(※補足1)
仮名加工情報を作ること、また、利用することに関して、自社で加工し利用する場合は、従来のような個人の特定を不可能にする加工(匿名加工情報)を行う必要が無くなりました。
このことにより、例えば、自社で集めた個人情報など、仮名加工情報を使ったビッグデータによる解析などがよりやりやすくなりました。
一方、個人情報を自社で加工するのではなく、他者へ渡すことを目的として個人情報を収集する場合、規制は厳しくなっています。
例えば、DMP(※補足2)事業者はブラウザによる閲覧、行動履歴などをクッキーやIPアドレスに紐づけてデータとして収集しています。これらのデータは、データを収集したDMP事業者にとっては個人に結びつくデータでは無いものの、他の事業者に渡した場合、渡した先の事業者のデータと様々な属性で突合することによって、個人を識別出来るデータとして利用することができます。このようにデータを加工することで、個人を識別できるような個人データを他の事業者に提供するような場合は、本人による同意が必要となります。
また同意の取得は、例えば一般的なWebサイトなどであれば本人が事前に「同意します」ボタンを押すなど、明示的な方法で同意を得る必要があります。
これらの同意情報についても、システムなどで適切に管理し、いつでも示すことが出来るようにしなければなりません。
(※補足1)
正式な解釈については、今後発表される個人情報保護法ガイドラインで明示されると思われますのでそちらをご確認ください。
(※補足2)
データ・マネジメント・プラットフォームの略称。取得した個人情報の管理を統合し、活用するためのシステムのこと。
⚫ 越境移転の在り方
改正個人情報保護法では、外国にある事業者に対する規制も追加されました。
外国企業が国内の個人に対する個人情報を、海外の本社へ持ち出す場合など、国内と同様、本人による事前の同意が必要になります。
また、他の企業へ個人データを提供する場合、 本人への取引情報の提示などを充実することが求められています。
identと自社対応の比較
個人情報保護法の改正項目について、 ident を導入した場合と 自社対応する場合を比較し表にしました。
(※補足1)
個人情報を本人が求める方法に従って、所持している個人データを開示できるようシステムは対応しなければなりません。システムから提示する方法ではなく、書面による提示が要求される場合もあり、対応コストは高くなります。
(※補足2)
個人情報を漏洩してしまった場合、個人情報保護委員会への報告や多額の罰則金などの他、信用の毀損など社会的リスクを負う可能性があります。
(※補足3)
仮名加工を自社以外で行う可能性がある場合は、先に本人からの同意が必要になります。同意したという情報は記録し、保存することが必要になります。
(※補足4)
ident は個人情報を本人のみが持っているため、個人データのデータベースは存在しません。
個人情報の提供は本人の事前の同意のもと、本人と事業者が安全な方法で直接やり取りします。
(※補足5)
ident では、漏洩、毀損する対象の個人データをident および事業者とも一切保持しないので、仕組み上個人情報の漏洩は発生しません。
(※補足6)
本人同意確認機能(開発中)を使うことで、同意した記録をブロックチェーン上に書き込み、改ざん、漏洩することのない状態で記録を安全に管理できます。
identのご紹介
identは、事業者様が個人情報を登録、管理すること無く ログイン認証やメッセージによるユーザアプローチを含むマーケティング活動、 個人情報の収集、記録、管理などを行うことが出来る新しい情報管理プラットフォームです。
認証や個人情報の管理、記録など、データ交換の全てにおいて、ブロックチェーンに基づいた 暗号化技術が使用されており、第三者に情報を漏洩すること無く安全に行うことができます。
identにご興味をもたれた方は、下記より説明資料をダウンロードください。
ident資料ダウンロード
※本記事の内容は当社の解釈を掲載しているだけですので、法的な解釈は専門の弁護士にお問い合わせください。
※本文の写真画像は次のフリー素材サイト利用させてもらいました。ぱくたそ/ Pixabay / Flaticon
