見出し画像

2022年4月施行、個人情報保護法改正のポイントをわかりやく解説

弁護士 池辺健太

改正された個人情報保護法が、2022年4月に全面施行されます。今回の改正ポイントには、率直にいって、これまでの改正以上に難しい、理解しづらい部分が含まれています。
本稿では重要な改正ポイントを、わかりやすく解説していこうと思います。

1.個人関連情報とCookieデータ

いわゆるCookie(Webサイト閲覧時に、スマホやPC内のブラウザに保存される低容量のファイル)等のオンライン識別子、デバイスID等について、一定の規制が加わることになります。

これらは個人情報とは別に、「個人関連情報」と定義されています。

前提として、そもそもCookieって個人情報なの?というところからお話します。

個人情報とは、特定の個人を識別することができるもの、つまり、個人を特定できる情報、と定義されています(ただし、他の情報との照合により、特定の個人の識別ができるものを含む。)。

Cookieデータは、個人を識別することができない(ブラウザを識別しているに過ぎない)とされており、上記の定義にあてはまりません。

そのため、Cookieデータが個人データ(ユーザーが登録した会員情報等)と紐づけられ、個人を特定できるような活用法がされている場合に限って、個人情報保護法上の「個人情報」とされています。

以上を前提としつつも、個人情報保護法は、Cookieについて規制が及ぶ場面を拡大しました。

自社と他社との間において、Cookie IDを共有し、ユーザーの閲覧履歴等のデータを共有している場合があります。

この場合、Cookie IDにかかる当該ユーザーの閲覧履歴等のデータは、そのユーザーが誰であるかという個人は特定できない以上、個人情報にあたらないため、他社への提供に本人同意は不要となります。

ただし、そのように他社から得たデータについて、当該他社と共有しているCookie IDと会員情報から得た氏名等を突き合わせれば、実際には、特定個人の閲覧履歴等を知ることが可能です。
そのため改正法は、そのような場合について規制を及ぼしています。

そのような情報の突き合わせ等が想定される場合、ユーザーの閲覧履歴等のデータ(Cookie情報)を提供する場合には、改正法によりユーザーの同意取得が必要となります。

画像1

2.外国への個人データ提供

外国への個人データ提供が適法化されるための要件が、改正法により厳格化されます。

外国への個人データ提供については、本人の同意を得る、又は、個人情報保護法の定める”相当措置”を講じること等により適法に実施できます。

上記の”相当措置”(個人情報保護委員会規則で定める基準に適合する体制)については、この記事において、LINEの件に絡めて解説しています。

改正法は、その相当措置の実効性を確保することを求めており、相当措置の実施状況及び外国の制度について、年1回程度の定期的な確認を必要としています。
また、本人の求めがあった場合、外国事業者の基準適合体制や外国の制度等について、情報提供をしなければならないとしました。

さらに本人同意を得た上で、個人データの外国提供をする場合においても、外国の名称や、外国の個人情報保護法制等について、あらかじめ情報提供をすることが必要とされていますので、プライバシーポリシー、Web上の案内等における対処が必要となります。


3.保有個人データの公表事項の追加

改正法(及び改正政令)は、保有個人データの安全管理措置を公表事項として追加しています。
これにより、プライバシーポリシーの改訂が必要となる場合があります。

上記について、プライバシーポリシーの改訂のみではなく、本人の求めに応じて回答するという選択肢も残されていますが、遅滞のない回答のため、安全管理措置にかかる内容を社内においてまとめる必要があることには変わりありません。

保有個人データの安全管理措置として、基本方針、規律の整備、組織的・人的・物理的・技術的安全管理措置、外的環境の把握(外国における個人情報の保護に関する制度等)、をまとめる必要があります。


画像2

4.企業への影響と対策

個人情報を取り扱わない企業はほぼない、といってもよく、個人情報保護法の改正は、ほぼ全企業において対応の必要が生じるものです。

今回、改正ポイントとしてご紹介した中から具体的にご紹介すると、まず保有個人データの公表事項の追加等に応じて、プライバシーポリシーの改訂を検討しなければなりません。

また、外国への業務委託や開発の委託等をしており、外国への個人データ提供が生じる場合については、それが法律上、許容される手続を履行しているか再確認が必要となります。

Cookieに関しても、個人関連情報として、一定の場合には本人同意を得るプロセスを準備する必要がありますので、ご注意ください。

【関連リンク】
令和2年 改正個人情報保護法について(個人情報保護委員会)

この記事が気に入ったらサポートをしてみませんか?