今からでも間に合う?改正個人情報保護法の知っておくべきポイント
デジタルマーケティングに携わる方に必ず知っておいてほしいのが2022年4月に施行される日本の個人情報保護法の改正についてです。今回は改正個人情報法のポイントと海外の個人情報保護法ついて記事をまとめていきます。個人情報保護法やCookieの取扱いについて確認していきましょう。
改正個人情報保護法施工の背景
日本の個人情報保護法は3年ごとに見直しされます。これまでに
・2003年個人情報保護法が制定(2005年施行)
・2015年改正現行法(2017年施行)
・2020年改正個人情報保護法が成立(2022年4月施行)
情報化社会の中でその時代の状況や世界の情勢を踏まえ見直しが検討され改正されています。
近年、デジタルトランスフォーメーション(DX)という言葉をよく耳にすると共に、AIやビックデータなどのデジタル技術の著しい加速により、なくてはならなくなったデータの利活用。
このデータの利活用に含まれ蓄積される個人(利用者)情報の取扱いの問題はなくなりません。
プライバシー保護への不安の高まりにより、日本の個人情報保護法は2020年6月に改正法が成立し、2022年4月に全面施行と定められました。
改正個人情報保護法のポイントは6つ
今回の個人情報保護法の改正におけるポイントは下記の6つになります。
①個人の権利
保護の強化事業者に対して個人(利用者)の情報がどのように扱われているかの開示や利用停止、消去を求めることが可能になります。
②事業者が順守するべき責務の追加
個人情報の漏洩時に国と個人への報告義務が必要となりました。また、違法行為に対して個人情報の利用を禁止することが可能になります。
③事業者による自主的な取り組みを促す制度新設
認定個人情報保護団体だけではなく、企業の特定部門を対象とする団体に対して認定することが可能になります。
④外国事業者への報告徴収・立ち入り検査などの罰則強化
外国事業者に対する権限を強化するとともに命令に従わない場合に公表することが可能になります。
⑤データの利活用に関するあり方
新設された定義「仮名加工情報」の利活用について、また「個人関連情報」(インターネットの閲覧履歴、位置情報、Cookieなどの情報)の規制が強化されます。
⑥ペナルティの強化
虚偽報告や命令違反、個人情報の不正提供などを行った場合に個人、法人に対する罰則の強化が行われます。
Cookieは「個人関連情報」
デジタルマーケティングで気をつけなければならないのがインターネットの閲覧履歴やGPSなどの位置情報、オンライン識別子に含まれるCookieやIPアドレスの取扱いになります。
今回の個人情報保護法の改正においてこれらは新設された概念「個人関連情報」とし、単体では特定の個人が識別できない要素と定義しています。
つまり、日本においては個人情報というわけではないということになります。
ですが、「個人関連情報」の第三者提供に対する規則が厳格化されているため要注意です。
CookieやIPアドレスなどの「個人関連情報」をDMP事業者から提供を受け、CRMやデータベースの個人情報と照合し個人を特定できるデータとして管理、利用することが想定される場合は個人(利用者)から同意を取得しなければなりません。
かつ、CookieやIPアドレスを提供する提供元は提供先が個人(利用者)から同意を得ているかを確認しなければなりません。
また、日本においてCookieやIPアドレス、位置情報は「個人関連情報」となりますが、海外で代表的な個人情報保護制度であるCCPAやGDPRでは個人情報と定められているため、日本企業であっても個人(利用者)から同意を取得しなければなりません。この点についても要注意です。
今回の個人情報保護法の改正では上記を順守しない違反行為に対する個人と企業への罰則が厳格化されている点もポイントとなります。
日本の個人情報保護法の罰則
個人情報保護法の改正により違反行為に対する罰則が強化され、罰金の上限額が大幅に引き上げられています。
【個人に対する罰則】
改正前
6か月以下の懲役または、30万円以下の罰金
改正後
1年以下の懲役または、100万円以下の罰金
【法人に対する罰則】
改正前
50万円又は30万円以下の罰金
改正後
1億円以下(最大1億円)の罰金
法人に対して、データベース等不正提供や個人情報保護委員会による命令に違反した場合、個人よりも重い罰則が科され、罰金の上限額が引き上げられています。
最大1億円の罰金が重いのか、軽いのか海外の個人情報保護制度でと比べてみましょう。
CCPAの罰則
・カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)
2020年に施行されたカリフォルニア州消費者プライバシー法(以下CCPA)は、カリフォルニア州民の個人情報の取り扱いについて定められた法律になります。
違反1件にあたり最大2,500$、故意の場合最大7,500$が科されます。
これは違反件数により罰金が異なり、10人分の違反の場合25,000$、100人分の違反の場合250,000$、1,000人分の違反になると2,500,000$と件数によってかなり膨大な金額に跳ね上がります。
GDPRの制裁金
・EU一般データ保護規則(GDPR:General Data Protection Regulation)
2018年に施行されたEU一般データ保護規則(以下GDPR)は、欧州経済地域(EEA)におけるプライバシー保護の強化を目的とした個人情報の取扱いについて定められた法律です。
GDPRの個人情報保護への違反に対する制裁金は、最大20,000,000€または全世界年間売上高の4%いずれか高い方が設けられ、日本円にすると約26億円とかなり巨額な制裁金が科されることになります。
日本の個人情報保護法の改正ではCCPAやGDPRなどの国際基準との整合性の観点からも法人に対する罰則が強化されたと言えます。
CCPAやGDPRは、カリフォルニア州やEU圏内だけが対象というわけではありません。対象地域の個人(利用者)の個人情報やWebサイトで行動データを取得している日本の企業にも適応されるため順守しなければなりません。
参考:https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/
まとめ
日本の個人情報保護法は情報化社会の中でその時代の状況や世界の情勢を踏まえ見直しが検討され3年ごとに改正されていきます。
今後さらなるデジタル技術の発展が予想される3年後に海外と同様にCookieやIPアドレスなども個人情報と定義されるかもしれません。
デジタルマーケティングに携わる方は、日本のみならず海外の個人情報に対する動向にも目を向けていくことが必要になることでしょう。
