本記事では、2022年4月に施行される個人情報保護法の改正の7つのポイントで分かりやすく解説していきます。
■2022年4月に施行される個人情報保護法の改正のポイントその後、改正個人情報保護法のポイントを踏まえ、企業のマーケティングにおける対応のポイントを以下の7つにまとめましたので、ぜひ参考にしてください。
■企業における対応のポイント改正個人情報保護法とは、個人情報保護委員会によって3年ごとに見直しされ、その結果を踏まえて個人情報保護法の改正を行なったものです。
日本における個人情報保護法は、2003年(平成15年) に成立しました。
インターネットと通したグローバルなデジタル社会の形成を図るべく、改正が繰り返されています。
今回の個人情報保護法の改正は、GDPR(EU一般データ保護規則)など国際的動向を踏まえ、日本国内における、新しい個人情報のスタンダードな在り方を定めた法律になっています。
「改正個人情報保護法とGDPRの違い」についてもっと詳しく知りたい方はこちら
ここからは、2022年月から施行される個人情報保護法の6つのポイントをまとめていきます。
2022年4月から施行される個人情報保護法の改正に伴い、本人の権利保護が強化されたのは以下4点になります。
改正前は、「6ヶ月以内に消去する短期保存データは保有個人データに含まれない」でしたが、短期間で消去する場合でも、個人情報が漏えいリスクがあることから、改正個人情報保護法では「6ヶ月以内に消去する短期保存データも保有個人データに含まれる」ようになりました。
改正前では、個人情報の取り扱いをしている事業者からの保有個人データの開示は、「原則として書面の交付によって行われるもの」とされていましたが、改正後は「開示方法を電磁的記録による方法など、開示方法の指定」ができるようになりました。
これは、情報量が多い場合などは書面での交付が困難であるため、利便性の向上も含めて改正されました。
個人情報の利活用における利用停止や消去請求ができるのは、以下に絞られていました。
■旧法での利用停止や消去請求が可能な条件改正後では、上記に加え、以下の3つの条件で個人情報の利活用における利用停止や消去請求ができるようになりました。
■改正後に追加される条件第三者提供記録とは、個人データを第三者へ提供する側と受ける側の両方が作成しなければならない、法令で定められた記録のことです。
今までは、この「第三者提供記録」は本人による開示の対象ではありませんでしたが、改正によって「第三者提供記録」が本人の開示請求の対象になりました。
ここからは、事業者に対する個人情報の管理における責務の追加ポイントをまとめていきます。
今回、事業者の責務として追加されたのは2つ。
■追加された事業者の責務改正前は個人情報取扱事業者に報告や通知の義務はありませんでした。しかし、改正によって個人情報取扱事業者は、個人情報漏えい等があった場合に、個人情報保護委員会への報告と本人への通知の2つが義務となりました。
※漏えい等報告の受付けはこちら
※本人へ通知する際には、メール・文書が望ましく、不可能な場合は、ホームページ
等での公表などが必要。
個人情報の不正な利用に関して、改正前は禁止が明文化されておらず、旧個人情報保護法の規定を違反していなくても、不当な方法で情報を取得したり、利用をするといった事例が発生しました。
この対策として、違法や不当な方法で個人情報を取得したり利用したりすることが明文化され禁止されました。
認定団体制度とは、個人情報を個人情報保護委員会以外にも、民間の団体を利用した保護を図るための認定制度です。法人や民間の企業(団体)が、個人情報保護委員会の認定を受けることで、なることができます。
今までの認定団体制度では、事業者の全ての分野で取り扱う個人情報が認定の対象でした。改正後では、事業者の特定の事業で取り扱う個人情報が認定の対象となり、より専門性がある活用や認定のしやすさによる認定団体の活用促進が期待されます。
データの利活用を促進するため、以下2つが改正・新設されます。
■データ利活用のために改正・新設される項目仮名加工情報とは、特定の個人を識別できないように加工して得た個人情報のことです。この仮名加工情報を作成し取り扱う事業者は、漏えい時の報告義務や開示請求、利用停止等の適用外となり、事業者の義務が緩和され、業務負担の軽減になります。
仮名加工情報について詳しくは経済産業省の資料(p.14)をご参照ください。
個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と個人情報保護法上は定義されています。一般的に、Webサイトの閲覧履歴などをブラウザに保持させるクッキー(Cookie)や、IPアドレス、端末固有IDや広告IDなどの識別子、位置情報、購買履歴データなどが該当します。
個人情報保護の観点から、第三者へ個人関連情報を個人データを提供する側の事業者は、本人の同意が得られていることを確認しなければなりません。
違反があった場合のペナルティで強化されたのは、以下の2点です。
■強化されたペナルティ措置命令違反の場合
改正前:6ヶ月以下の懲役又は30万円以下の罰金
改正後:1年以下の懲役又は100万円以下の罰金
報告義務違反
改正前:30万円以下の罰金
改正後:50万円以下の罰金
個人情報データベース等の不正流用
1年以下の懲役又は50万円以下の罰金
※改正での変更なし。
措置命令違反の場合
改正前:30万円以下の罰金
改正後:1億円以下の罰金
報告義務違反
改正前:30万円以下の罰金
改正後:50万円以下の罰金
個人情報データベース等の不正流用
改正前:50万円以下の罰金
改正後:1億円以下の罰金
これまで、外国の事業者は日本国内にいる者の個人情報を取り扱う場合では、報告徴収や立入検査等の対象ではなかったため、不適切な取り扱いに対しても個人情報保護委員会ができる対応が、指導や助言といった強制力のない方法しかできませんでした。
法改正により、外国の事業者が日本国内にいる者の個人情報を不適切に取り扱った場合に、より効果のある(強制力のある)措置を実施することができるのようになります。
個人情報の越境移転の機会が広がる中で、国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものだと判断されています。そのため、日本国内から外国の第三者へのデータを提供する際は以下の2点が必要となります。
ここからは企業のマーケティングに与える影響のポイントをまとめていきます。
改正個人情報保護法は、企業のデジタルマーケティングに大きな影響を与えています。マーケティングの特性上、個人情報の取り扱いは切っても切り離せないほど重要です。改正された項目の中でも、特に大きく影響を与えるのが「仮名加工情報の新設」と「個人関連情報の新設」です。
仮名加工情報の新設では、事業者の仮名加工情報についての義務が緩和され、業務負担が軽減されています。これは企業にとってメリットです。一方で注意が必要なのは、個人データの第三者への提供です。仮名加工情報の個人データは、本人の同意を得ても第三者に提供することができません。
※通常の個人データは本人の同意があれば第三者に提供可。
個人関連情報の新設では、提供先での個人データとなる可能性がある場合の確認が義務付けられました。これは、Cookie情報を利用した広告の配信等でも、データを活用については、一部で本人の同意が必要になってしまいます。マーケティング担当者は改正個人情報保護法について学び、個人情報の適正な取り扱いをしていくことが重要です。
企業が改正個人情報保護法に対応するためのを8つのポイント紹介します。
個人関連情報を第三者に提供する際の制限が設けられています。提供する側は個人データに該当しないが、提供先では個人データとなる可能性がある場合は、第三者への提供について本人の同意等の確認が義務となっています。Cookie情報や閲覧履歴等が個人関連情報に該当します。
Webマーケティングの施策として、サードパーティCookieを利用したターゲティング広告やDMPなどがあります。
例えば、サイトに訪れたユーザーの同意を得ずに、Cookie情報に基づいた関連広告の配信行った場合、個人情報保護法に触れることになります。
サードパーティCookieを使用したマーケティング施策を行っている企業にとっては、個人情報を提供するユーザーの許諾が必須になります。
同意情報を取得・管理するためのCMP(同意管理)ツールの導入を検討する必要があります。
CMP(同意管理)ツールについてもっと詳しく知りたい方はこちら
個人情報の漏えい等が発生した際に、個人の権利利益を害する可能性が高い場合、個人情報保護委員会への報告と本人への通知をしなければなりません。
漏えい時のフローは事前に確認しておきましょう。
外国の第三者へ個人情報を提供する際に、提供する第三者が個人情報をどのように取り扱うのかについて、本人への情報提供等をすることが求められているため、現在の自社の状況をチェックする必要があります。
個人情報取り扱いについて、どのような安全管理措置が設けられているか等を公表し、個人情報の本人が内容を把握できるようにすることが義務となっています。
改正個人情報保護法では、前述した通り、6ヶ月以内に消去する個人データと個人データを提供したり授受した際に作成する記録についても、開示請求の対象になります。本人からの請求があった場合には、速やかに対応できるよう準備をしておきましょう。開示方法については本人が指定できるため、様々な方法に対応できるようにする必要があります。
不当な方法等によって個人情報の取得や利用することを禁じることが明文化されました。個人情報を違法又は不適切な利用をされる恐れがある場合は提供等をしてはなりません。提供先が予期せぬ利用をする可能性もあるので、提供の際には注意しましょう。
企業の不利益にならないためにも、改正個人情報保護法の内容を盛り込んだプライバシーポリシーの改訂等を必要に応じて対応しましょう。
2022年改正個人情報保護法について、企業のマーケティングに与える影響と対応方法について見てきました。
複雑で難しい内容でありながらも、対応を怠ると違法となり大きなペナルティを受けるだけでなく、企業の信頼の失墜にもなり得ます。
最低限抑えるべきポイントに対応することから始め、徐々に改正個人情報保護法に対応できるようにしていきましょう。
個人情報保護委員会「個人情報保護法令和2年改正及び令和3年改正案について」