【2021年版】法務部必見!個人情報保護法改正による影響と必要な対策

個人情報保護法法律 2021.04.02
【2021年版】法務部必見!個人情報保護法改正による影響と必要な対策

2022年春頃の全面施行が想定されている改正個人情報保護法。法務部に所属する方のなかには「どこから手を着けたらいいのか」と頭を抱えている方も多いのではないでしょうか。

この記事では、改正法が及ぼしうる影響と取るべき対策を、法務部に特化した視点から紹介します。

1. 法務部がおさえるべき改正法のポイントは、5つ

今回の改正は、IT技術の革新が進んだ現代における「個人のプライバシー保護」の権利と、「企業によるデータ活用」のバランスを整える必要性がありました。法務部としておさえておきたいポイントは、以下の5つです。

1.1. 個人の権利の拡大

本人が利用停止や開示請求するための条件を緩和し、請求できるデータの範囲自体を拡大するなど、個人の権利が大幅に強化されています。例えば新たに、第三者提供記録(第三者提供をおこなった記録、あるいは受けた記録)が開示請求できる対象に含まれました。

全面施行後には、消費者から企業に対する各種請求が増加すると予想されます。

1.2. 企業によるデータ活用の促進

一方、企業向けには「仮名加工情報」と呼ばれる利活用しやすいデータ定義が新設されました。これまでにも存在した「匿名加工情報」と「個人情報」の中間に位置づけられており、

「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報」

引用元:「第159回個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)

と定義されています。具体的には、氏名等の情報を削除し単体では個人が特定できないようにしたデータで、内部利用に限るなどの制限はあるものの、消費者からの各種請求への対応義務などが緩和されます。企業としては、仮名加工情報の活用がビジネス上の競争力を保つうえで重要となるでしょう。

1.3.事業者の守るべき責任

企業が守るべき責任も厳格化されています。データの漏えい事故(軽微なものを除く)が発生した際、速やかに委員会と本人へ通知することが義務付けられました。万が一に備え、報告フローを事前に整えておく必要があります。

また、これまではデータの不適正な取得のみが禁止されていましたが、不適正な利用の禁止についても注意が必要です。詳細はガイドライン等を待つこととなりますが、データの取り扱いにはさらなる注意が求められるでしょう。

1.4.データの利活用と国外企業への対応

IT技術の発展から国境を超えた個人情報の移転が容易になったことを念頭に、国内の個人情報を取り扱う外国事業者も個人情報保護法の適用対象に改正されました。

さらに、外国の事業者に対して第三者提供する際の条件も厳格化され、移転先でどのように個人情報が取り扱われるのか、本人に対してより詳細に説明したうえで同意を得るよう求められます。

1.5.オプトアウト規定により第三者提供できるデータの制限

改正により、オプトアウト規定(利用目的の公表と本人の申し出があれば提供を停止することを条件に、本人の同意なしで第三者提供できる制度)で取り扱えるデータの範囲が狭まりました。不正に取得された個人データとオプトアウトで提供されたデータは、オプトアウト不可となります。「企業Aがオプトアウトで得たデータを、企業Bがオプトアウトで」と際限なくデータが再提供されることを防ぎ、出どころを明確にする意図があります。

2.法務部担当の実務への影響

上記を踏まえ、法務部に求められる実務対応を見ていきましょう。

2.1.個人関連情報の取り扱いの見直し

改正法では、Cookie情報などに代表される個人関連情報の取得に際して、限定的ではありますが、同意が必要となるケースが創設されました。

この同意が必要となるケースでは、利用目的等を明文化することが求められます。例えば、Webサイト訪問時のCookie同意取得バナーでも、単に「拒否する場合にはこのボタンを」のような形では同意とみなされない可能性が高く、下記のように明確に言及しなければなりません。

「当社は、第三者が運営するデータ・マネジメント・プラットフォームからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結びつけた上で、広告配信等の目的で利用いたします。」

引用元:「第158回 個人情報保護委員会 改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)

何をもって明確な同意とするのか、具体的に必要な文言はガイドラインが待たれますが、実務への影響は避けられないでしょう。

2.2.公表事項の検討と文言作成

同意取得時の文言改定とあわせて、プライバシーポリシーに代表される公表事項の充実も必要です。取得したデータがどのように取り扱われているのか(施されている安全管理措置や利用目的など含め)企業秘密に触れない範囲で本人が容易に知りえる状態にしましょう。

2.3.開示請求等の対応フロー作成

本人からの開示や利用停止請求に対する社内の対応フローも策定しましょう。受付から対応完了まで滞りがないよう、どの部門がどのように動くのかを明確に取り決めることが必要です。また、例外により請求に応じない場合やそもそも請求されたデータが存在しない場合など、イレギュラーの想定も重要となるでしょう。

2.4.注意事項の社内周知

改正により消費者保護の世論がより高まることを念頭に、部署に囚われず情報を共有することの重要性を社内に周知すべきです。

2.4.1.データ取扱い部署への周知

直接的にデータを取り扱う部署には、仮名加工情報や個人関連情報などの新設されたデータ区分や、厳密化された第三者提供時の各種ルールを正しく伝えましょう。取扱い部署の知識の充実は、漏えい事故発生のリスク低減に直結します。

2.4.2.消費者保護意識を社内で周知

社内の個人情報保護意識の醸成も法務部に求められる役割です。法に関するリーダーとして、注意事項の喚起や正しい知識の共有など、率先して対応を進めていくことが求められます。

2.5.必要な対策の提案

単なる注意事項の周知に留まらず、具体的にどのような対策を取ればよいのかまで他部門の人間から質問されるケースも予想されます。もちろん、法務部にすべての解決策を見出す責任はありませんが、「専門知識を持った人間によるアドバイスが欲しい」と求められるのもまた自然なことです。

例えばCookie同意取得に対しては「CMP(同意管理プラットフォーム)CMP(同意管理プラットフォーム)」の導入を提案するなど、「他企業の取り組みを見るに、このようなツールも解決策として考えられる」と例示でき、社内全体の個人情報保護への対応もよりスムーズとなります。

3.個人情報保護への対応は「個人情報保護対応 準備できるくん」がおすすめ

改正法への対応は、同意取得文言一つを取っても表現等にしっかり気を配らなければならず、企業には莫大な負担がかかります。企業による個人情報の流出事故が社会問題となる現代では、万が一のミスもあってはならず、適切に対応を進めているつもりでも、本当にこれでよいのかと不安にもなるでしょう。

そんな負担を軽減するためにおすすめしたいのが、「個人情報保護対応 準備できるくん」の活用です。

Priv Techが提供するコンサルティングサービス「個人情報保護対応 準備できるくん」では、以下の6つの取り組みを通じて、企業の個人情報保護への対応を徹底的にサポートします。

  1. 無料相談
  2. 社内向け勉強会の実施
  3. 貴社サイトのタグやCookieの状況調査
  4. 対応ポイントの洗い出し
  5. 同意管理ツール導入支援
  6. データ活用コンサルティング

複雑化する個人情報保護への対応を、自社のみで完璧に進めるのは至難の業です。解決策の一つとしてぜひご検討ください。

個人情報保護へのコンサルティングサービス「個人情報保護対応 準備できるくん」

4.まとめ

企業として改正法への対応を進めるためには、法務部による率先した行動が大切です。各種文言の調整などはもちろん、改正案で重要となるポイントや諸注意を社内喚起するなど、法にまつわるリーダーとしての役割が求められます。

請求への対応フローなど、必要とされる社内体制を着実に整えつつ、万全の体制で全面施行のタイミングを迎えるようにしましょう。