2022年4月に改正個人情報保護法が施行されました。個人情報の第三者提供の要件の厳格化、本人による利用停止や消去請求権の要件の緩和、情報漏洩発生時の報告の義務化など、個人の権利と利益を保護しながら個人情報の適正な利用を推進し、かつ、GDPR等、国際的な潮流との調和を図る主旨が盛り込まれた内容になっています。
現代では多くの企業がユーザや取引先の個人情報を収集し、ビジネスに活用しています。そのため、改正個人情報保護法がどのような範囲で適用され、また個人情報を取扱う事業者はどのような点に留意すればよいのかを正しく理解することは極めて重要です。
この記事では、個人情報保護法の改正の背景やポイント、適用範囲について見ていきます。
個人情報保護法改正の流れ
個人情報保護法は、ネット社会の進展やプライバシー保護意識の高まりを背景にインターネット上での個人情報の取扱いに配慮し、個人情報そのものの定義やその活用における制約について、時代に則した改正を行ってきました。また、一方で企業に蓄積された膨大な個人情報をビッグデータとして活用しやすくする点も法改正の目的としています。
近年では、2017年と2022年の改正法の施行がビジネスを見直すきっかけになったという企業も多いのではないでしょうか。
個人情報保護法の対象
個人情報保護法では、「個人情報取扱事業者」を規制対象としています。個人情報保護法における個人情報取扱事業者とは、「個人情報データベース等を事業の用に供しているものをいう」と定義されています。
ここでいう個人情報データベース等とは、個人情報を検索して利用できるように管理している手段全般を示しています。ほとんどの会社において、個人情報は必要な時に情報にアクセスできるように、リストにするなどして管理しています。すなわち、ほぼすべての事業者は、個人情報取扱事業者に該当するという点にあらためて留意が必要です。
【参考】:個人情報保護委員会『「個人情報データベース等」とは何か』
2017年施行の法改正のポイント
2005年の全面施行後、初の法改正となった2017年。全面施行から10年あまり、同時期に急速に普及したインターネットがもたらしたデジタル化に合わせ、大幅にアップデートされました。
個人情報取扱事業者の件数制限の撤廃
改正前は、個人情報の取扱いが5,000件以下の事業者は同法の対象外でしたが、2017年の法改正により、5000件の件数制限が撤廃されました。これにより、1件でも個人情報を取扱っている事業者は、同法の適用対象となっています。
個人識別符号の追加
個人情報の定義が一部修正され、「個人識別符号」が新たに個人情報に追加されました。個人識別符号とは、特定の個人の身体的特徴をデジタル化したもの(指紋、顔、虹彩など)や特定の個人に割り当てられた文字列や番号、記号等(マイナンバー、パスポート番号、運転免許証番号など)のことを指し、単体で個人を特定できる情報となっています。
匿名加工情報に関する制度の創設
ネット化の進展に伴い企業に蓄積された膨大なビッグデータ、その活用を推進する目的で「匿名加工情報」が新設されました。匿名加工情報は、特定の個人を識別することが出来ないように加工処理が施された個人情報を指します。匿名加工情報は、「個人情報」(法第2条第1項)に該当しないため、本人の同意を得ずに第三者に提供することが可能です。
要配慮個人情報の新設
取扱いに特に注意が必要な情報として「要配慮個人情報」が新設されました。要配慮個人情報は、信仰、過去の犯罪歴、病歴、人種、社会的身分などの情報を指し、一般の個人情報と区別し、より慎重な取扱いを要するとされています。要配慮個人情報の取得には、原則として本人の同意(オプトイン)が必要としました。
個人情報の第三者提供に関するルールの新設
個人情報の第三者への提供について「本人に通知すること」、「本人が知りえる状態にすること」を事業者の義務としました。また、個人情報が流出した際に流通経路を調査できるよう、個人情報のトレーサビリティを確保すること、曖昧な状態で個人情報が第三者に提供されないようオプトアウトのルールを厳格化することが定められました。
2017年に施行された改正法により、個人情報の保有件数に基づく数量制限が撤廃され、ほぼ全ての事業者は同法の適用対象となりました。改正前の法律を前提としたルールから見直しを行っていない事業者は、知らず知らずのうちに法律違反を犯している事態が起こり得ます。
いずれの企業も個人情報取扱事業者として、違反がないよう細心の注意を払う必要があります。
【参考】:個人情報保護委員会『個人情報の保護に関する法律のガイドライン(Q&A)』』
【参考】:個人情報保護委員会『個人情報の保護に関する法律のガイドライン(通則編)』
2022年施行の改正ポイント
前回の改正法の施行から5年、GDPRをはじめとする国際的な法制度の潮流の急速な変化に合わせた法改正が行われました。具体的には、個人のプライバシーを保護し、事業者の義務を強化、罰則規定の厳罰化により法令遵守を促すなど、より厳格な内容にアップデートされています。
個人情報の利用停止、削除や開示請求の権利の拡大
データの利用停止や削除、開示など、個人情報の提供者本人から事業者に対して、要求できる権利が拡充されました。
第三者提供における制限と規制の拡充
第三者に提供されている個人情報の利用停止を本人が事業者に請求する、第三者に提供した記録を本人が事業者に開示請求できる権利が保証されました。また、事業者には第三者提供記録の作成が義務付けられました。
オプトアウト規定により第三者に提供できる個人データの限定
2022年の改正法施行後、オプトアウト方式により個人情報の第三者提供を行う場合は、個人情報保護委員会への届出が義務化されました。さらに、オプトアウト方式での第三者提供を停止する場合も、個人情報保護委員会への届出が必要とされています。
この改正でオプトアウト方式での個人情報の取扱いのすべてが個人情報保護員会の管理対象となり、個人情報の取得と第三者提供については、事実上、本人によるオプトインとすることが原則となりました。
【参考】:個人情報保護委員会『オプトアウト規定による第三者提供の届出』
情報漏洩発生時の報告義務
個人情報取扱事業者が保持している個人情報が漏洩した場合、個人情報保護委員会への報告と個人情報の提供者本人への通知が義務化されました。
仮名加工情報に関する制度
ビッグデータの活用促進を目的として、仮名化が施された個人情報に関する制度が新設され、条件付きで事業者の義務が緩和されました。
個人情報の利用
不適正な方法で個人情報を利用してはならない旨が明確化されました。
罰則の強化
行為者と法人、それぞれの罰則が強化され、罰金の額が大幅に引き上げられました。個人の権利が拡充され、事業者の義務や責務が強化されるとともに、違反時の罰則が厳罰化されています。
プライバシー保護を推進する世界的なトレンドに追従した内容となっていると言えるでしょう。
【参考】:個人情報保護委員会『個人情報の保護に関する法律のガイドライン(Q&A)』
【参考】:個人情報保護委員会『個人情報の保護に関する法律のガイドライン(通則編)』
個人情報保護法は、2024年4月に施行規則が改正されています。詳しくは以下の記事を合わせてご覧ください。
【関連記事】:個人情報保護法施行規則の改正ポイントをまとめて解説!
改正個人情報保護法の適用範囲
ここからは、改正個人情報保護法が適用される範囲を見ていきましょう。
改正個人情報保護法の適用範囲
個人情報保護法は「個人情報」「仮名加工情報」「匿名加工情報」「個人関連情報」を取扱う全ての事業者に適用されます。営利企業はもちろん、自治会やマンションの管理組合など、非営利団体も適用対象となります。直接的に個人を特定できない場合でも、前述の情報やデータを取扱う事業者は、個人情報保護法が適用されます。
それぞれの情報について、具体的に見ていきましょう。
個人情報
いわゆる個人情報であり、生存する個人を識別できる情報です。氏名や生年月日、住所などが該当します。
【参考】:『個人情報の保護に関する法律のガイドライン(通則編)』2-1 個人情報
個人関連情報
生存する個人に関する情報であり、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない情報です。個人関連情報単体では個人を特定できません。具体的には、IPアドレスや購買履歴、閲覧したサイト、位置情報などが該当します。Webサイトを通じて収集するケースが多い情報と言えるでしょう。
【参考】:『個人情報の保護に関する法律のガイドライン(通則編)』2-8 個人関連情報
匿名加工情報
個人情報を加工し、特定の個人を識別できないようにした情報です。氏名などの情報を不可逆的に記号等に置換したり、または不要な情報を削除するなどして加工処理します。この処理により作成されたデータは個人情報保護法上の規制が緩和されますが、不可逆的に匿名化を行う必要があり、その処理には専門的な知識やスキルが必要です。
【参考】:『個人情報の保護に関する法律のガイドライン(通則編)』2-12 匿名加工情報
仮名加工情報
匿名化に類似しますが、個人情報の名前や住所を特定のコードや番号に置換します。処理によって直接的に個人を識別できない状態になりますが、他のデータと紐付けることで個人を識別可能なデータに復元することが可能な情報です。
【参考】:『個人情報の保護に関する法律のガイドライン(通則編)』2-10 仮名加工情報
改正個人情報保護法が適用されるシーン
直接的に個人を特定できる情報ではなく、匿名化や仮名化を施した情報やIPアドレスなどの個人関連情報であっても、個人情報保護法の適用範囲となります。では、個人情報を取扱う際、どのようなことに留意すれば良いのでしょうか?
個人情報の収集・利用
個人情報の利用目的を具体的に明示し、本人がそれを理解した上で収集に応じることが重要です。違法、不正な手段での情報取得や利用は個人情報保護法違反となります。明示した利用目的外の用途に個人情報を利用する場合、事前に本人の同意を得る必要があります。
個人情報の管理
収集した個人情報は、サイバー攻撃や内部不正による情報漏洩が起こらないよう適切に管理する必要があります。データ管理を外部へ委託する場合でも同様で、委託元としてデータ保護に必要な監督を行ないましょう。万が一、情報漏洩が発覚した場合の対応としては、個人情報保護委員会への報告、本人への通知が義務付けられています。
第三者への提供
個人情報を第三者へ提供する場合、事前に本人の同意(オプトイン)が必要です。提供先の第三者が外国に存在する場合、「本人に同意」もしくは、「第三者が情報を守るための適切な体制を整備している」または、「個人情報保護委員会が認めた国や地域に所在している」ことのいずれかを満たす必要があります。
第三者へ情報を提供する場合は、「いつ、誰の、何の情報を、誰に」渡したのかを記録し、提供を受ける場合は、「いつ、誰の、何の情報を、誰から」受け取ったのかを必ず記録しましょう。
個人情報の開示・削除
個人情報の所有者から、本人の情報の開示や削除、訂正を求められた場合にすぐに対応できる体制を事業者は整備しておく必要があります。そのためには、個人情報の本人がそれらの要求をするための連絡先、個人情報を保持している事業者の名称やその所在地、といった詳しい情報をWebサイト等に明示しておくことが重要です。
個人情報保護法は「個人情報」「仮名加工情報」「匿名加工情報」「個人関連情報」を取扱う全ての事業者に適用されます。2017年の法改正で件数制限が撤廃されたため、現在、ほぼすべての企業は同法の適用対象となります。自社が取扱っている情報はいずれに該当するのかをチェックし、不適切な取扱いとならないよう対策を講じることが大切です。
【関連記事】:事業者が遵守すべき個人情報保護法における義務とは?
改正個人情報保護法の適用範囲を把握し、適切な取扱いを
個人情報保護法は、人々のプライバシーや人権を守る重要な法令であり、企業はコンプライアンスを求められています。法的な知識はもちろん、自社が取扱っている情報の種類やデータの入手経路、保管場所、データ活用するための加工処理方式、第三者提供している場合はその提供先などを正確に把握し、適切に管理することが必要です。
ただし、企業にとって、これらを正確に把握して、稼働中のシステムとして運用し、それぞれのデータを適切に管理することに不安を感じる面もあるのではないでしょうか。
RTmetricsは、Webサイトの大幅な更改をすることなくシステムに組み込めるアクセス解析ツールです。情報収集から実際の運用までをシステムとしてカバーし、コンプライアンスの面でも安心して、ビジネスを展開することを支援します。
個人情報保護法を遵守し、Webマーケティングを最適化したいという方は、ぜひ一度、RTmetricsをご検討ください。
