プライバシーにおいて注意すべき法律とは？デジタル社会における課題と問題点

社会のデジタル化にともないデータ活用が活発になる一方で、さまざまなプライバシーの問題が顕在化しています。
本記事ではデジタル社会におけるプライバシーの課題、注意すべき法律を説明します。

デジタル社会におけるプライバシー面の課題・問題点

デジタル技術の発展により社会のデジタル化が進んだことにより、プライバシーに関する新たな課題・問題点が浮き彫りとなりました。企業が管理する個人情報の量・種類は増加傾向となっており、結果としてデータ管理にともなう責任が大きくなっています。
プライバシー問題の事例として記憶に新しいのは、Facebook社による個人情報の流出です。2018年に最大8,700万人、2019年には2億6,700万人以上の個人情報が流出したのではと話題になりました。
また同じくFacebook社で、ユーザーが90日以上アプリを使っていない場合、本来であればアプリ開発者が閲覧できなくなる個人情報が、90日経過後もアクセスできる状態になっていたことが2020年に発覚しています。
これらの問題に対してユーザーから多くの非難の声が上がっており、未熟なデータ管理が企業の信用を失墜させる原因となりました。
このような事例によってユーザーのプライバシー意識は高まっており、企業はプライバシーに関する課題へより慎重に向き合うことが求められています。

データ活用の際に注意すべき法律について

データを活用する際に、企業はまず「個人情報保護法」に注意する必要があります。個人情報を取り扱う事業者は、個人情報保護法に抵触しないように事業をおこなわなければなりません。
個人情報保護法の要点は「【2020年改正案対応】個人情報の保護に関する法律等の一部を改正する法律（概要）」で詳しく解説しているので、本記事とあわせてご参照ください。
また、特定の条件を満たす場合に日本企業も巨額のペナルティ支払い対象になる可能性がある法律として以下があげられます。

法律	当該法律の適用対象になるケース
GDPR （EU一般データ保護規則）	EU域内に支店・子会社など営業拠点を所有している EU域内から「個人データ」の移転を受けている 日本国内からEUに向けて商品・サービスを提供している
CCPA （カリフォルニア州消費者プライバシー法）	年間総収入が「2,500万ドル」以上 5万件以上、カリフォルニア州民の個人データを取得あるいは処理している カリフォルニア州民の個人データ販売による収入が年間収入の50%以上

GDPRは、EU域内の個人にまつわるデータを守るために制定された法律です。上記表の条件を満たす場合は地域を問わず罰則対象となり、制裁金として「前年度の世界年間売上高の4％」と「2,000万ユーロ（約24億円　※2019年1月の為替レート換算）」のうち高額な方を上限とした金額が科せられます。
それに対しCCPAは、カリフォルニア州民の個人データを取得かつ上記表の条件を満たす場合に適用される法律です。内容は、個人の持つデータの開示・削除の請求権を強めるものとなっています。
CCPAのペナルティは、違反1件につき最大2,500米ドル（故意の違反となる場合は7,500米ドル）で、違反件数に比例するとともに制裁金が高くなります。
なお、個人情報保護法やGDPR・CCPAの制裁金は以下の記事で解説しています。

＞＞放っておくと経営危機レベルの制裁金も！ GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

企業に今後求められるプライバシーへの配慮とは？

プライバシーへの配慮において企業に求められるのは、総務省と経済産業省が公開している「DX 企業のプライバシーガバナンスガイドブック（案）ver1.0」で挙げられている要件への対応、個人情報保護法改正への対応、そしてCookie取得時の同意管理プラットフォームの導入などです。それぞれについて解説します。

企業が取り組むべき要件

総務省と経済産業省が公開している「DX 企業のプライバシーガバナンスガイドブック（案）ver1.0」では、データを利活用する企業が取り組むべき要件として以下の3つが挙げられています。プライバシーへの配慮には、いずれも必須事項です。

• プライバシーガバナンスに係る姿勢の明文化
• プライバシー保護責任者の指名
• プライバシーへの取組に対するリソースの投入

引用：総務省，経済産業省「DX 企業のプライバシーガバナンスガイドブック（案）ver1.0」

一つ目の「プライバシーガバナンスに係る姿勢の明文化」は、プライバシーに対する企業の向き合い方を明文化し、組織内外に認知させることを指します。
二つ目の「プライバシー保護責任者の指名」は、率先してプライバシー問題への対応を実施する責任者を任命し、問題解決のために必要な権限と責任を与えることです。
最後に、三つ目の「プライバシーへの取組に対するリソースの投入」は、必要となる経営資源（ヒト・モノ・カネ）を投入し、プライバシーへ配慮した組織作りに努めることを指します。

上記3点の詳しい取り組みは「プライバシーの侵害とは？Cookieはプライバシー侵害に該当する？」で解説しています。

データの取り扱いを規制する流れが強まる今、自らの組織を守るためにも早々に対応していきましょう。

個人情報保護改正法の概要と影響

2020年6月成立・公布の改正個人情報保護法では、GDPRやCCPAなどの諸外国のルールも念頭に個人情報の取り扱いを厳格化する方向性で改正が行われました。改正点は多岐にわたりますが、企業として特に重要となるのが「第三者提供に関する制限の追加」と「仮名加工情報」です。

＞＞『経営者が知っておくべき、個人情報保護法改正の影響とリスク【2021年版】』

今回の改正により、個人データを取得者以外の第三者へ提供する「第三者提供」については以下のような制限が課されました。

• （所定の条件下において）本人同意が得られていること等の確認を義務付ける
• 事業者が第三者提供をした記録についても、本人が開示請求できるようにする
• オプトアウト規定で第三者提供できるデータから以下を対象外とする

1. 不正取得された個人データ
2. オプトアウト規定により提供された個人データ

引用：個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より抜粋・改変

自社が現在行っている第三者提供が改正法に違反するものではないか、あらためて確認しておく必要があります。
一方、仮名加工情報は従来の「匿名加工情報」と「個人情報」の中間に当たる枠組みとして創設されたもので、その定義は以下の通りです。

「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる情報」

引用：個人情報保護委員会「第159回個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について（仮名加工情報）」

個人情報は仮名加工情報へ加工すると以下の義務が適用されなくなり、取り扱いの自由度が増します。企業が今後も個人情報をビジネスに活用していくために必ず覚えておきたいポイントです。

• 利用目的の変更の制限（法第15条第２項）
• 漏えい等の報告等（法第22条の２）
• 開示・利用停止等の請求対応（法第27条から第34条）

引用：個人情報保護委員会「第159回個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について（仮名加工情報）」

そのほかの改正点については、以下の記事もあわせてご参照ください。

＞＞『経営者が知っておくべき、個人情報保護法改正の影響とリスク【2021年版】』

デジタル社会におけるプライバシーの配慮とは

現代のデジタル社会では、位置データやオンライン識別子（IPアドレス・Cookie等）など普段は目に見えにくくとも取り扱いに際して配慮すべき情報が多数存在します。企業がガイドブックや法律を遵守し、ユーザーに安心感のある形でプライバシー保護を実現するためには、適切なITツールの助けが必要不可欠です。
例えば「CMP（コンセントマネジメントプラットフォーム）」と呼ばれるITツールは、以下のような企業・ユーザーのどちらにとっても有益なプライバシー保護に役立つ機能を備えています。

• 取得したデータの保存期間を明示できる
• ユーザー側からもどのような形で自身のデータが扱われているのか確認できる

詳細は、以下の記事よりご確認ください。

＞＞『CMP（同意管理プラットフォーム）とは？必要性とGDPRとの関係を解説』

まとめ

プライバシー配慮を怠る影響は罰則だけにとどまりません。顧客や取引先の信頼を損ねるうえ、事業に深刻なダメージをもたらします。
世界がデジタル社会として発展していくなか、企業が向き合うプライバシー面の課題・問題点は増える一方であり、プライバシーへ配慮した組織作りに速やかに努めることが求められています。注意すべきポイントをおさえ、データ利用の状況について見直してみてはいかがでしょうか。