法務部必見!個人情報保護法改正による影響と必要な対策【2023年版】

個人情報保護法法律 2023.04.28
法務部必見!個人情報保護法改正による影響と必要な対策【2023年版】

2022年4月に施行された改正個人情報保護法。法務部に所属する方のなかには「どこから手を着けたらいいのか」と頭を抱えている方も多いのではないでしょうか。

この記事では、改正法が企業に及ぼしうる影響と取るべき対策を、法務部に特化した視点からご紹介します。

1. 法務部がおさえるべき改正法のポイントは、5つ

今回の改正は、IT技術の革新が進んだ現代における「個人のプライバシー保護」の権利と、「企業によるデータ活用」のバランスを整える必要性がありました。法務部としておさえておきたいポイントは、以下の5つです。

1.1. 個人の権利の拡大

本人が利用停止や開示請求するための条件を緩和し、請求できるデータの範囲自体を拡大するなど、個人の権利が大幅に強化されています。例えば新たに、第三者提供記録(第三者提供をおこなった記録、あるいは受けた記録)が開示請求できる対象に含まれました。

今回の改正により、消費者から企業に対する各種請求が増加していると言えるでしょう。

1.2. 企業によるデータ活用の促進

一方、企業向けには「仮名加工情報」と呼ばれる利活用しやすいデータ定義が新設されました。これまでにも存在した「匿名加工情報」と「個人情報」の中間に位置づけられており、

「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報」

引用:「第159回個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)

と定義されています。具体的には、氏名等の情報を削除し単体では個人が特定できないようにしたデータで、内部利用に限るなどの制限はあるものの、消費者からの各種請求への対応義務などが緩和されます。企業としては、仮名加工情報の活用がビジネス上の競争力を保つうえで重要となるでしょう。

1.3.事業者の守るべき責任

企業が守るべき責任も厳格化されています。データの漏えい事故(軽微なものを除く)が発生した際、以下の条文の通り、速やかに委員会と本人へ通知することが義務付けられました。事業者は万が一に備え、報告フローを事前に整えておく必要があります。

個人情報取扱事業者は、法第26条第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。

  1. 概要
  2. 漏えい等が発生し、又は発生したおそれがある個人データの項目
  3. 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
  4. 原因
  5. 二次被害又はそのおそれの有無及びその内容
  6. 本人への対応の実施状況
  7. 公表の実施状況
  8. 再発防止のための措置
  9. その他参考となる事項

引用:「個人情報の保護に関する法律についてのガイドライン(通則編)」

ここで言う、「速やかに」は以下のように定義されています。

  • 速報:当該事態を知った時点から概ね3~5 日以内
  • 確報:30日以内(一部例外のみ60日以内)

また、これまではデータの不適正な取得のみが禁止されていましたが、不適正な利用の禁止についても新たに規制が定められました。

個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
引用:「個人情報の保護に関する法律」第十九条より

1.4.データの利活用と国外企業への対応

IT技術の発展から国境を超えた個人情報の移転が容易になったことを念頭に、国内の個人情報を取り扱う外国事業者も、以下の条文の通り、個人情報保護法の適用対象に改正されました。

この法律は、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。

引用:「個人情報の保護に関する法律」第百七十一条

さらに、外国の事業者に対して第三者提供する際の条件も厳格化され、移転先でどのように個人情報が取り扱われるのか、本人に対してより詳細に説明したうえで同意を得るよう求められます。

1.5.オプトアウト規定により第三者提供できるデータの制限

改正により、オプトアウト規定(利用目的の公表と本人の申し出があれば提供を停止することを条件に、本人の同意なしで第三者提供できる制度)で取り扱えるデータの範囲が狭まりました。不正に取得された個人データとオプトアウトで提供されたデータは、オプトアウト不可となります。「企業Aがオプトアウトで得たデータを、企業Bがオプトアウトで」と際限なくデータが再提供されることを防ぎ、出どころを明確にする意図があります。

2.法務部担当の実務への影響

上記を踏まえ、法務部に求められる実務対応を見ていきましょう。

2.1.個人関連情報の取り扱いの見直し

改正法では、Cookie情報などに代表される個人関連情報の取得に際して、限定的ではありますが、同意が必要となるケースが創設されました。

この同意が必要となるケースでは、利用目的等を明文化することが求められます。例えば、Webサイト訪問時のCookie同意取得バナーでも、単に「拒否する場合にはこのボタンを」のような形では同意とみなされない可能性が高く、下記のように明確に言及しなければなりません。

「当社は、第三者が運営するデータ・マネジメント・プラットフォームからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結びつけた上で、広告配信等の目的で利用いたします。」

引用:「第158回 個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)

ガイドラインによれば、同意取得方法について以下のように例示されています。

同意取得の方法としては、様々な方法があるが、例えば、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法がある。ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならない。

また、同意取得に際しては、本人に必要な情報を分かりやすく示すことが重要であり、例えば、図を用いるなどして工夫することが考えられる。
引用:「個人情報の保護に関する法律についてのガイドライン(通則編)」

2.2.公表事項の検討と文言作成

同意取得時の文言改定とあわせて、プライバシーポリシーに代表される公表事項の充実も必要です。取得したデータがどのように取り扱われているのか(施されている安全管理措置や利用目的など含め)企業秘密に触れない範囲で本人が容易に知りえる状態にしましょう。

2.3.開示請求等の対応フロー作成

本人からの開示や利用停止請求に対する社内の対応フローも策定しましょう。受付から対応完了まで滞りがないよう、どの部門がどのように動くのかを明確に取り決めることが必要です。また、例外により請求に応じない場合やそもそも請求されたデータが存在しない場合など、イレギュラーの想定も重要となるでしょう。

2.4.注意事項の社内周知

改正により消費者保護の世論がより高まることを念頭に、部署に囚われず情報を共有することの重要性を社内に周知すべきです。

2.4.1.データ取扱い部署への周知

直接的にデータを取り扱う部署には、仮名加工情報や個人関連情報などの新設されたデータ区分や、厳密化された第三者提供時の各種ルールを正しく伝えましょう。取扱い部署の知識の充実は、漏えい事故発生のリスク低減に直結します。

2.4.2.消費者保護意識を社内で周知

社内の個人情報保護意識の醸成も法務部に求められる役割です。法に関するリーダーとして、注意事項の喚起や正しい知識の共有など、率先して対応を進めていくことが求められます。

2.5.必要な対策の提案

単なる注意事項の周知に留まらず、具体的にどのような対策を取ればよいのかまで他部門の人間から質問されるケースも予想されます。もちろん、法務部にすべての解決策を見出す責任はありませんが、「専門知識を持った人間によるアドバイスが欲しい」と求められるのもまた自然なことです。

例えばCookie同意取得に対しては「CMP(同意管理プラットフォーム)CMP(同意管理プラットフォーム)」の導入を提案するなど、「他企業の取り組みを見るに、このようなツールも解決策として考えられる」と例示でき、社内全体の個人情報保護への対応もよりスムーズとなります。

3.個人情報保護への対応は「プライバシーコンサルティング」がおすすめ

改正法への対応は、同意取得文言一つを取っても表現等にしっかり気を配らなければならず、企業には莫大な負担がかかります。企業による個人情報の流出事故が社会問題となる現代では、万が一のミスもあってはならず、適切に対応を進めているつもりでも、本当にこれでよいのかと不安にもなるでしょう。

そんな負担を軽減するためにおすすめしたいのが、「プライバシーコンサルティング」サービスの活用です。

Priv Techが提供する「プライバシーコンサルティング」では、以下の6つの取り組みを通じて、企業の個人情報保護への対応を徹底的にサポートします。

  1. 無料相談
  2. 社内向け勉強会の実施
  3. 貴社サイトのタグやCookieの利用状況調査
  4. 対応ポイントの洗い出し
  5. 同意管理ツール導入支援
  6. データ活用コンサルティング

複雑化する個人情報保護への対応を、自社のみで完璧に進めるのは至難の業です。解決策の一つとしてぜひご検討ください。

>>企業のプライバシー保護対策を支援する「プライバシーコンサルティング」のサービスサイトはこちら

4.まとめ

企業として改正法への対応を進めるためには、法務部による率先した行動が大切です。各種文言の調整などはもちろん、改正案で重要となるポイントや諸注意を社内喚起するなど、法にまつわるリーダーとしての役割が求められます。

請求への対応フローなど、必要とされる社内体制を着実に整えつつ、万全の体制で全面施行のタイミングを迎えるようにしましょう。

公開日:2021年4月2日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!