【2022年版】Q&Aで解説！改正個人情報保護法の同意取得、よくある疑問徹底解説！

改正個人情報保護法が2022年4月に施行されました。すでに2021年5月には具体的なガイドラインも示されており、それに合わせて対応を進めている企業様も多いのではないでしょうか。とはいえ、改正法の対応を進める中で日々疑問や不安が出てくることと思います。

今回は、当社がお問い合わせやセミナーでよくご質問いただく内容をもとに、改正法の中でも「同意取得」に関する疑問・つまづきポイントをQA形式で解説していきます。

１．改正個人情報保護法ー「同意取得」のよくある疑問

2020年6月に国会において可決・成立した「改正個人情報保護法」。これまでに比べ、より厳格な個人情報の取り扱いが定められました。全体的に個人の権利がより強化されており、円滑で健全な事業活動を行うためには、2022年4月の施行までに必ずチェックをし、対応を進めておく必要があります。

改正個人情報保護法についての詳しい説明は下記リンクから確認できます。
2020年6月可決成立！ 改正個人情報保護法が企業に与える影響とは？

いくつかある変更点の中でも、ここでは第三者提供に関する同意取得が厳格化された点についてQA形式で解説をしていきます。

Q1-1.改正個人情報保護法で新たに求められるようになる「同意取得」とは？

改正個人情報保護法によって、Cookie情報などの個人関連情報を個人データとして取得する際に、本人に対して利用目的などを明示したうえで、利用についての同意を得ることが求められます。

具体的には、今回の改正法において、同意取得に関して以下のように言及されています。

個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならないこととするもの。
引用：個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について（個人関連情報）」

個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を指します。具体的には、Cookie情報や（氏名に結びつかない）インターネットの閲覧履歴、IPアドレスなどが該当します。これまでグレーゾーンだったCookieの取扱いに、明確なルールが定められたと解釈できるでしょう。

Q1-2.いつまでに対応しなければいけないの？

改正個人情報保護法は、2022年4月にすでに施行されています。したがって、早急に対策を検討、実行しておく必要があります。改正法が施行された現在は、第三者が本人（消費者）から明確な同意を得た後でなければ、個人関連情報取扱事業者から個人関連情報の提供を受けられません。

Q1-3.改正法で定められた「同意取得」の対応が必要な対象企業は？

出典：個人情報保護委員会「改正法に関連するガイドライン等の整備に向けた論点について（個人関連情報）」

論点資料においては、「提供先（上図B社）」が本人からCookieなどの利用同意を取得すべきであるとされています。

Q1-4.同意取得の方法で、避けた方がいいやり方は？

1. 「個人関連情報の第三者提供を拒否する場合には、以下のボタンをクリックしてください」等のように、「拒否（オプトアウト）」を選択させる方法は避けましょう。この方法は、「拒否をしない限り同意したものとみなす」というみなし同意にあたり、改正法で求められている本人の同意を取得したとはいえません。
2. 「（Cookie利用に）了承しないとサービス提供できません」という形式も避ける方が無難です。改正法上、明確に規制されているわけではありませんが、この形式は、GDPRでは望ましくないとされています。

Q1-5.コーポレートサイトでCookie利用に同意したらサービスサイトでも同意とみなしてもいいの？

改正法上、明確な規制はありません。サイト来訪者（消費者）への説明の仕方によっては可能ですが、レピュテーションリスクを抑えるために、分けて取得する方がよいでしょう。

Q1-6.正直、改正法対応の予算確保が難しい。よい方法は？

改正法未対応で訴えられた際のリスクは、非常に大きいものです。そのリスクを上層部へアピールしたり、法務部門や情報システム部門などを巻き込んで会社全体で取り組むべき課題として進めていくことをお勧めします。

２．同意取得対応ーCMPのよくある疑問

改正個人情報保護法で定められた同意取得に適切に対応をするため、日本国内でも導入が進みはじめているのがCMPです。CMPとは「Consent Management Platform」の略で、「同意管理プラットフォーム」とも呼ばれます。Webサイトやアプリケーションを利用するユーザーに、データの取得・利用の同意を求めるためのツールです。

CMPについての詳しい説明は下記リンクから確認できます。
CMP（コンセントマネジメントプラットフォーム）とは？必要性とGDPRとの関係を解説

本章では、今後さらに導入が進んでいくと思われるCMPについて、当社がセミナーなどでよくいただく質問を中心にQA形式で解説していきます。

Q2-1.CMPはいつ頃から導入をするべき？

同意取得の対応が必要な企業・団体の場合、2022年4月に改正個人情報保護法が施行された今、必ず導入されている必要があります。
また、早めに導入を進めることで、「この会社は個人情報保護に力を入れているな」とユーザーから信頼を得ることができるため、レピュテーションリスクの回避にもつながります。

Q2-2.国産・海外CMPの違いは？

国産・海外産CMPの主な違いは、機能数にあります。Cookie自体が個人情報にあたる海外産のCMPは、日本法にのみ対応する企業・団体に対して高機能すぎる場合が多いです。加えて、高機能な分、コンサルティング費用が高いのも特徴です。

国産・海外産CMPには、以下のようなツールがあります。

【国産】
• Trust 360
• webtru
• dooi

【海外産】
• OneTrust
• Cookiebot
• TrustArc

Q2-3.同意を取得する（バナーを表示させる）タイミングに決まりはあるの？

特段定めはありませんが、ユーザーがページに来訪したタイミングがよいでしょう。
また、Cookieの保持期間が過ぎた場合は再度バナーが表示されます。（保持期間は1st Party Cookieの保持期間に依存します）

Q2-4.Cookie利用に同意するユーザーと拒否をするユーザーそれぞれの割合は？

日本国内でのCMP導入率はまだまだ高くないため、一般的な値とはいえませんが、これまでご支援してきた経験から、現状では以下のような割合ではないかと考えられます。

• 同意バナーを無視：約7割
• 同意バナーに「許可」と反応：バナーに反応した方の内、7～8割
• 同意バナーに「拒否」と反応：バナーに反応した方の内、2～3割

全体でいうと、おおよそ2割のユーザーから同意が取得できる見込みです。

３．まとめ

2022年4月施行された改正個人情報保護法。本記事では、同意取得やCMPに関するよくある疑問を解説しましたが、もちろんすべての企業・団体が同意取得対応が必要なわけではありません。「自分たちも対応しなければならないのか？」とご不安な場合は、まずは早めに専門家にご相談することをおすすめします。

更新日：2022年10月31日