2021/02/08

2020年の改正個人情報保護法のポイントは?内容を押さえ早めに対処しよう

個人情報の保護に関する法律等の一部を改正する法律案、いわゆる改正個人情報保護法が2020年6月に国会で可決、成立し、同6月12日に公布されました。
施行は一部をのぞいて公布後2年以内とされていますが、今回は個人情報の取り扱いについて緩和される部分と、規制が強化される部分があります。
大幅とも言える改正ですので、社内のデータ管理システムなどの見直しも含め、早めの準備をしなければなりません。

 

物議を醸した「破産者マップ」

 

ウェブサイト上での個人情報の取り扱いをめぐって、政府の個人情報保護委員会が異例の措置を取った事例があります。2020年のことです。
官報に掲載されている自己破産者の氏名、住所、職業をグーグルマップ上にプロットした無料サイト「破産者マップ」が公開され、悪質であるという批判が相次いでいました。

これに対し、政府の個人情報保護委員会は破産者の情報を集めて公開している2つのサイト運営者に対し、サイト運営の停止命令を出しています[1]。
その後サイトは閉鎖されましたが、事案としては個人情報保護委員会が個人情報保護法に基づいて出した初めての命令で、刑事告発も辞さないという委員会の強い姿勢も示されていました。

官報は誰でも閲覧できるものとして発行されています。
しかしこのように本人の同意なく大量の個人情報が晒され、収益目的などで利用されることは想定されていませんでした。
また、2019年8月には、就活生の内定辞退率情報を販売した企業も個人情報保護委員会からの勧告を受けています[2]。

今回の法改正には、個人情報の利用についてさらなる厳格化が盛り込まれています。
ただ一方で、データ活用による企業活動を支援するため、個人情報の取り扱いについて緩和されている部分もあります。
経営の上で押さえておかなければならないポイントがいくつもあります。主なものを紹介します。

 

個人情報保護に関する大幅な規制強化

 

まず、規制が強化される部分についてです。
企業やサイト運営者が保有する個人情報の取り扱いについて大きな改正になっているのは、主に以下のようなポイントです。

 

①本人の同意を得るためのより具体的な利用目的の明示

企業が取得した個人情報は、その人に対する直接のサービスだけでなく、メールマガジンなどの送信のため、その人に関する行動や関心を分析するためにも利用しているという企業もあるでしょう。
しかし今回の法改正では、当の本人が「分析」という形で個人情報を利用されていることを把握していなければ、「本人にとって想定し得ない形で取り扱われる可能性がある」と指摘されています[3]。
よって、どのように自分の情報が取り扱われているかを本人が予測できるように、利用目的を具体的に明示しなければなりません。

個人や企業が運営するウェブサイトの多くでは、「個人情報保護方針」「プライバシーポリシー」として、個人情報の取り扱いに関する項目を記載していることでしょう。
しかし従来のままの文章で曖昧さが残る場合は、しっかりと書き換えなければなりません。

例えば、下のように具体性を持たせる必要があります(図1)。

図1 個人情報利用目的に関する記載例
(出所「改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)」個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/201014_kouhyouzikou.pdf p12

個人情報の利用についてどのようなものを「想定し得る」かについては、企業側と個人で認識が違う場合があります。そのようなギャップは解消しなければなりません。

 

②情報の利用停止や消去に関する個人の権利拡大

そして最大のポイントは、企業内でのデータの扱いに対する顧客(本人)の権利が拡大されたことです[4]。
具体的には、

・保有している個人データの開示方法について、電磁的記録の提供も含めて本人が指示できるようにする
・個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする
・データを取得した企業にとっては個人情報に該当していなくても、提供先で個人情報となることが想定される場合、提供を受ける企業は、本人の同意が得られていることなどの確認する義務が生じる(図2などの場合)
・オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定
(※オプトアウト規定=)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度)


図2 提供先で個人情報となり得るデータの例
(出所「改正法に関連する政令・規則等の整理に向けた論点について(個人関連情報)」個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/201120_kozinkanren.pdf p2

なお、インターネットの閲覧履歴がわかるクッキー(coockie)についても、個人情報に紐づけられることが想定される場合は、本人の同意を得ていることの確認が必要です。

 

③法定刑の引き上げ

そして今回の法改正で、個人情報保護法違反の法定刑が引き上げられます。

改正前後の比較は下のようになっています(図3)。


図3 改正法による法定刑の引き上げ
(出所「令和2年 改正個人情報保護法について」個人情報保護委員会)
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/ 

全体的に、個人情報の扱いについての透明性、トレーサビリティを求める方向での改正と言えます。
よって、個人情報取得の同意を得る方法は、これまでより丁寧な説明が求められます。

なお、「拒否されない限り同意しているものとして扱う」という形では、本人の同意を取得したとはいえないという考え方も示されています(図4)。


図4 サイト上での同意取得の例
(出所「改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)」個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/201120_kozinkanren.pdf p6

 

企業のデータ活用のための緩和要件

 

一方で、経営へのデータ活用については、一部規制が緩和されています。

新しいのは「匿名加工情報」の制度です。
これは、個人情報を復元できないよう匿名に加工したものは社内の有効活用や自由な流通など別目的での利用も可能になる、というものです(図5)。


図5 匿名加工情報
(出所「個人情報の保護に関する法律等の一部を改正する法律案について」個人情報保護委員会)
https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/seicho/20200311/200311seicho02.pdf p8

企業にとっては、自社に集積しているデータの価値を損なうことなく、多目的に利用できることでビジネスチャンスが広がる、というメリットがあります。
どの程度の加工が必要かという詳細については、ガイドラインなどで今後示される見通しです。
ビジネスの観点から見ると、匿名加工情報制度の設置は、データというものがさらに価値を持つようになるということでもあります。

 

個人情報保護の意義の再確認を

 

破産者マップについては、「破産情報を出されて就職できなかった」「周りにいつ気づかれるか不安」など、少なくとも数百件の相談が個人情報保護委員会に寄せられたといいます[5]。

企業活動に当てはめれば、例えば情報流出が起きたりその可能性が発覚した時、企業の実務的には問題がなかったとしても、「流出した可能性」というのが、本人にとっては不安として残り続けることがある点は再確認する必要があるでしょう。
また、デジタルデータは自在にコピーされ、いわゆる「デジタルタトゥー」として残ることにも留意が必要です。

改正法で求められている個人情報のトレーサビリティを維持するには、システムを含めた見直しも必要になります。準備は一朝一夕にはいきません。
そして、個人情報流出が判明した場合、その経緯を本人が知ることができるようになるということは、場合によっては訴訟に発展しやすくなることも想定されます。
データ・ドリブンが推奨され顧客データの価値が向上する中で、その恩恵を受けるからにはより厳しい認識を持たなければならない、ということでもあります。

[1][2]「破産者氏名・住所を掲載するサイトに停止命令…有料で掲載削除受け付けて収益か」読売新聞オンライン 2020年7月30日
https://www.yomiuri.co.jp/national/20200729-OYT1T50372/
[3]「改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)」個人情報保護委員会
https://www.ppc.go.jp/files/pdf/201014_kouhyouzikou.pdf p11
[4]「個人情報の保護に関する法律等の一部を改正する法律(概要)」個人情報保護委員会
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
[5]「破産者情報サイトは閉鎖 でも…怖くて名字を名乗れない」朝日新聞デジタル 2020年12月20日
https://www.asahi.com/articles/ASNDM61FTNDMPTIL00R.html

【免責事項】
本サイトの目的は、リーダーシップやマネジメントなどに関する、様々な考え方や理論を広く紹介し、読者の皆様に有益な情報発信を行うことです。掲載されているすべての記事が「識学」の考え方を反映しているものではありません。