改正でここが変わる!Webマーケ担当が絶対に知るべき個人情報保護法改正の最新情報&影響と対策
2022年4月に施行された改正個人情報保護法。今回の改正はWebマーケティングやEC担当を含む多くの部署に関係するもので、法務部だけが知っておけばよい内容ではありません。
ここでは、数ある改正内容の中からWeb担当者の視点で知っておくべきポイントをご紹介します。施行までに取るべき対策も解説しますので、自社の個人情報保護体制の構築にご活用ください。
1.「個人情報保護法改正」で何が変わる?最新情報まとめ
2018年のGDPRや2020年のCCPAの施行に代表されるように、ここ数年でプライバシー保護にまつわる規制強化の流れが世界的に強まっています。最近ではWebマーケティング業界でも、Googleが3rd Party Cookieのサポートを2022年までに終了すると宣言したことが大きな話題となりました(その後、終了時期は2023年後半へと延期済み)。
今回の個人情報保護法改正は、世界的なプライバシー保護気運の高まりを念頭に「ユーザーのプライバシー保護」と「企業による個人情報の利活用」のバランスを取ることを主な目的として行われたものです。データ定義の新設や取り扱いに関する制限の追加など、知らなかったでは済まされない、企業が必ず理解すべき内容が含まれています。
2022年4月の改正法全面施行によって、Webマーケティングの実務においてもさまざまな変化が巻き起こると予想されます。Cookieに代表されるWebサイト上で当たり前に取得しているパーソナルデータの取り扱いを見直したり、本人同意を適切に得るためのフローを整えたりと、これまでよりもプライバシー保護を意識した活動が必要となるでしょう。
改正個人情報保護法についてより詳しくおさえておきたい方は、以下の記事もあわせてご参照ください。
>>【2022年】改正個人情報保護法ガイドラインの重要ポイントを解説
2.Web担当者がおさえるべき改正法のポイント
Webマーケティング&EC担当が理解しておくべき改正法のポイントを見ていきましょう。
2.1.法人に対するペナルティ引き上げ
改正により、法人に対する罰金は以下のとおり厳罰化されました。
- 個人情報保護委員会からの命令への違反:30万円以下→1億円以下
- 個人情報データベース等の不正提供等:50万円以下→1億円以下
- 個人情報保護委員会への虚偽報告等:30万円以下→50万円以下
これまでの罰金から最大1億円と大幅な引き上げです。また、個人情報保護委員会からの命令違反に対する行為者への懲役刑も6ヵ月以下から1年以下へと引き上げられています。
今後はミスや認識の甘さが自社へ大きなダメージを与えかねないことを理解しましょう。
参照元:個人情報保護委員会「令和2年 改正個人情報保護法について」
2.2.企業イメージの悪化「レピュテーションリスク」に注意
今回の改正を皮切りに、世論の消費者保護意識はますます強まるものと予想されます。もし適切な対策を怠れば消費者を大切にしない企業だとレッテルを貼られてしまい、企業イメージが低下し、業績の悪化にまでつながりかねません。いわゆる「レピュテーションリスク」と呼ばれる風評被害の問題に気を配る必要があります。
3.いますぐ対応すべきポイントは3つ
自社への深刻なダメージを避けるため、Webマーケティング&EC担当者には今すぐ改正法への対応を進めていくことが求められます。特に重要であるのは以下の4点です。
3.1.Pマークの取得
取引先や消費者などに対して、個人情報保護に取り組んでいる企業だと伝えるために役立つのが「Pマーク(プライバシーマーク)」の取得です。日本情報経済社会推進協会が認定するPマークは、以下の基準を満たした事業者にのみ与えられます。
- JIS Q 15001「個人情報保護マネジメントシステム(PMS=Personal information protection Management System)」に基づいた個人情報保護マネジメントシステム)を定めていること。
- PMSに基づき実施可能な体制が整備されて個人情報の適切な取り扱いが行われていること。
- 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に定める欠格事項のいずれかに該当しない事業者であること。
- 実際の事業活動の場で個人情報の保護を推進していること。
引用:一般社団法人日本情報経済社会推進協会「プライバシーマーク制度について 付与の対象と単位」
Pマークを取得していることは「個人情報を一定水準以上に大切に取り扱っている企業の証」として働きます。他部門と連携しつつ、積極的に取得へ取り組むことをおすすめします。
3.2.リスクの認識とリテラシー向上
Webマーケティング&EC担当は直接的に個人情報を取り扱う機会が多く、個人情報保護に対する高いリテラシーが求められます。それとあわせて、改正法に対する知識も深めておく必要があるでしょう。
例えば今回の改正では、「個人関連情報」と「仮名加工情報」と呼ばれる新たな個人情報の区分が創設されました。それぞれの定義は以下のとおりです。
- 仮名加工情報:他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報
- 個人関連情報:生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの
複雑な定義をしっかり理解し、今取り扱っている情報がどのデータ区分に該当するのか、取り扱いにどのようなリスクがあるのかを常に把握できる知識が求められます。
3.3.個人情報漏えい時の対応フロー構築と見直し
今回の改正により、個人情報の漏えい事故が発生した際には、速やかに委員会と本人に通知するよう企業に対して義務付けられました。「速やかに」の定義については2021年10月に更新された最新のガイドラインにて触れられており、委員会への通知に関しては、
- 速報:当該事態を知った時点から概ね3~5日以内
- 確報:30日以内(一部例外のみ60日以内)
参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
と、素早い対応が求められています。なお本人への通知に関しては「速やかに」という表現にとどまり、具体的な日数には触れられていません。
万が一の場合に迅速に解決するために、どの部署がどのように対応するのか、今からフローを明確にしておきましょう。
>Priv Tech「プライバシーコンサルティング」はこちら
4.Web担当者がすべき、改正に向けた対策
最後に、Webマーケティング担当者に向けて必要な対策をご紹介します。
4.1.メルマガ配信やお問い合わせフォームの同意取得
現在提供している「メルマガ配信」や「お問い合わせ受付フォーム」も取得目的や利用方法の本人同意が必要となりえることに注意しましょう。
改正法では、「明示の同意」と呼ばれる、取得したデータを何のためにどのように利用するのか説明したうえでの同意が重要となります。法務部などと連携し、適切な文言を用意・公開しておくことが求められます。
またお問い合わせに関しては、できるだけ件数を減らして保有する個人情報自体を少なくするため、「よくある質問」をQ&A形式で公開しておくのもよいでしょう。
4.2.セミナー/ウェビナー来場時の対応
セミナーやウェビナーで個人情報を取り扱う場合も注意しなければいけません。メルマガのケースと同様に、あらかじめ取得する個人情報の利用目的を明確化し公式ページで公表しておく、あるいは当日に書面等で知らせるなど、適切な本人への通知を心がけましょう。
例えば、株式会社大塚商会は、「イベント・セミナー開催における個人情報の取り扱い・利用目的について」を明確に開示しています。今後、他の企業もこのような対策が必要となってくるでしょう。
4.3.SNS運用の方針策定
所有しているSNS(法人アカウント)の運用もあらためて確認しておきましょう。必要な対策として、以下が挙げられます。
- 乗っ取りを防ぐための二段階認証などの導入
- キャンペーン等で集めた個人情報の管理方法の見直し
- 特別な場合を除き、DM(ダイレクトメッセージ)等で
こちらに個人情報を送ってはいけないとユーザーに周知 - こちらに個人情報を送ってはいけないとユーザーに周知
- 各SNSで不特定多数からDMを受け取らないように設定
参照元:Twitter Japan「ダイレクトメッセージについてのよくある質問」
4.4.Cookie情報取り扱いの再確認
最後に注意しておきたいのが「Cookie」です。Cookieは上記で紹介した「個人関連情報」に該当し、改正によって以下のとおり取り扱いに制限がかかります。
「個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならない」
「個人データとして取得する」の定義については、前述の2021年10月更新のガイドラインにて、以下の通り定められています。
- 法第31条第1項の「個人データとして取得する」とは、提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合をいう。
- 提供先の第三者が、提供を受けた個人関連情報を、ID等を介して提供先が保有する他の個人データに付加する場合には、「個人データとして取得する」場合に該当する。
- 提供先の第三者が、提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう「個人データとして取得する」場合には直ちに該当しない。
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
さらに、具体例についても、提供先の第三者が個人データとして取得することを「現に想定している場合」と「通常想定される場合」の2種類に分けて紹介しています。
【現に想定している場合】
- 提供元の個人関連情報取扱事業者が、顧客情報等の個人データを保有する提供先の第三者に対し、ID 等を用いることで個人関連情報を個人データと紐付けて取得することが可能であることを説明している場合
- 提供元の個人関連情報取扱事業者が、提供先の第三者から、個人関連情報を受領した後に個人データと紐付けて取得することを告げられている場合
【通常想定される場合】
- 個人関連情報を提供する際、提供先の第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いる ID 等も併せて提供する場合
出典:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
Cookieに関してはすでに多くの企業が対策を進めており、企業の公式サイトやECサイトで「Cookieの利用に関する本人同意を求めるボタン」を目にする機会も多くなりました。
自社の対策が遅れれば遅れるほど、消費者から「プライバシーを大切にしない企業」だとレッテルを貼られ、レピュテーションリスクの危険性が高まってしまいます。ガイドライン等で正しい知識を身につけつつ、自社のCookieの取り扱いを早めに見直すことが不可欠です。
>Priv Tech「プライバシーコンサルティング」はこちら
5.Trust 360とポリシーDL
Cookieに関する同意取得問題を解決するにあたって大きな手助けとなるのが「CMP(コンセントマネジメントプラットフォーム)」の導入です。
CMPは「本人同意を取得・一括管理できるITツール」です。例えば弊社の提供するCMP「Trust360」は、改正法を順守した形で自社サイト上にCookie同意取得バナーを表示し、取得した同意も視覚的に理解しやすい形で管理できます。導入も簡単で、サイト上にJavaScriptタグを設置するのみです。
>>「Trust360」の資料請求はこちら
弊社ではその他にも、自社の特性に応じたプライバシーポリシー・Cookieポリシーのテンプレートを受け取れるサービス「ポリシーDL」なども用意しており、企業の改正法への対応を力強くサポートします。テンプレートは無料で受け取れますので、ご興味をお持ちの際はぜひ一度以下よりお試しください。
>>「ポリシーDL」はこちら
6.まとめ
ここでは、個人情報保護法改正における影響とその対策をWebマーケティングやEC担当者向けの視点から解説しました。
法人に対してのペナルティが引き上げられた点や「個人情報を大切にしていないこと」に対して風評被害が起こりうる社会情勢に鑑みると、もはや対策は待ったなしの状態です。ここで解説した内容を参考に、できるだけ速やかな行動を取ることをおすすめします。
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!