個人情報保護委員会(内閣総理大臣の所轄に属する行政委員会)は昨年12月13日、「個人情報保護法いわゆる3年ごと見直し制度改正大綱」を発表し個人情報保護法における情報保護の新しい在り方について示しています。これが今年3月10日に閣議決定され、現在開催中の通常国会に改正案を提出し、成立後は2020年春ごろまでの施行を目指します。
本記事では改正個人情報保護法のポイントと、近年対応が急務とされている欧州GDPR(General Data Protection Regulation:一般データ保護規則)について解説します。
改正個人情報保護法で何が変わる?
インターネット上で扱われるデータの量が以前にも増して多くなり、企業はさまざまなデータを組み合わせてビジネスを展開しています。それと並行し、ユーザーの生活にとってデジタルは重要性を増し、今ではSNSやECサイトなどが生活の一部として組み込まれていると言ってよいでしょう。そして、ユーザーの個人情報に対する関心はどんどん深まっています。
個人情報保護法の第1条では、「個人の権利利益を保護」を目的として掲げており個人情報漏えい等によるユーザーの権利・利益を侵害してはいけないことを表しています。しかし、昨今の情報漏えい事件の多さから見るに必要十分な措置が取られているとは言えず、制度を見直す必要があるとされています。
そこで提案されたのが「個人情報保護法いわゆる3年ごと見直し制度改正大綱」です。最近ではGDPRの施行などにより各国の個人情報保護に対する要件が厳格化されており、日本においてもその必要性が叫ばれています。日本でも個人情報保護要件を厳格化するとともに、個人情報を扱う事業者への措置を明確にしなければいけません。
顧客の信頼を獲得しデータのプライバシー規制および保護規制に対応する
SAP®︎Enterprise Consent and Preference Managementは、信頼に基づく顧客関係を構築し、顧客が自身の個人データを管理できるようにし、データのプライバシー規制および保護規制に対応します。
改正個人情報保護法のポイント
ポイント1. 漏えい等報告及び本人通知の義務化
個人の権利利益の保護及び公平性の観点から、漏えい等の事態を個人情報保護委員会が早期に把握するとともに、本人において必要な措置を講じることができるよう、一定数以上の個人データ漏えい等、一定の類型に該当する場合、速やかに個人情報保護委員会への報告と本人への通知を行うことを個人情報取扱事業者に義務付ける。
ポイント2. 適正な利用義務の明確化
情報化社会の進展によるリスクの変化を踏まえ、個人情報取扱事業者は、不適正な方法により個人情報を利用してはならない旨を明確化する。
ポイント3. 「仮名化情報(仮称)」の創設
一定の安全性を確保しつつ、イノベーションを促進する観点から、他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報(仮称)」を導入することとする。この「仮名化情報(仮称)」については、本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制や、「仮名化情報(仮称)」に係る利用目的の特定・公表を前提に、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務を緩和し、また、様々な分析に活用できるようにする。
ポイント4. ペナルティの在り方
個人情報保護法では、個人情報取扱事業者に科される罰則について最大でも1年以下の懲役又は50万円以下の罰金とされていることから、違反行為に対する実効性が不十分であるとして、ペナルティの強化が必要との議論がある。このため、現行の法定刑について、法人処罰規定に係る重科の導入を含め、 必要に応じた見直しを行うこととする。
GDPRとは?
次に、2018年5月25日より欧州で施行されているGDPRについてご紹介します。GDPRは前述のようにGeneral Data Protection Regulationの略であり、日本語では「一般データ保護規則」と訳されます。この保護規則の概要は、EEA(欧州経済領域)加盟国にて取得した氏名やメールアドレス等の個人情報の域外移転を原則禁止するものです。
<EEA加盟国一覧>
オーストリア、ベルギー、ブルガリア、クロアチア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、、リヒテンシュタイン、アイスランド、ノルウェー
GDPRのポイント
理解のポイントになるのは、従来は個人情報とみなされていなかったIPアドレスとCookie情報(インターネット上で個人を識別するためのデータ)などが個人情報として定義されたことです。こうした個人識別符号が個人情報と定義されたのは世界で初めてであり、日本の個人情報保護法においてはIPアドレスやCookie情報は個人情報だと考えられていません。
近年ではIPアドレスやCookie情報が第三者に不正利用されることで、ユーザーが利用しているサービスに不正アクセスされたり、クレジットカード情報が搾取されたりと、インターネット上での個人情報流出事件が多発しています。GDPRがそれらの情報を個人情報だと定義したのは時代の流れとしてごく自然であり、今後は日本においてもIPアドレスやCookie情報等を個人情報と定義する流れを組むことになるでしょう。
GDPRの対象となる日本企業
GDPRはEEA加盟国内にあるすべての営利・非営利組織が対象だと明示されています。事業規模や国籍は問いません。グローバル化が進む現代ビジネスにおいて、EEA加盟国内でビジネスを行っている非加盟国企業も対象になります。では、日本企業のうちGDPRへの対応が必要な企業の条件とは何でしょうか?
EEA加盟国内に子会社を持つ企業
GDPRでは欧州経済領域市民に加えて、同領域内に一時滞在している人の個人情報も規制対象になります。日本企業においては、欧州経済領域内に子会社や関連会社、事業所などを持っている場合は直接的なGDPR適用対象になります。本社機能が日本にあるとしてもです。
EEA加盟国内に商品やサービスを提供している企業
日本から欧州経済領域内の個人・法人に向けて商品やサービスを提供している企業では、現地に子会社や事業所が存在していなくてもGDPR適用対象になります。有料か無料かを問わず、アカウント作成によって発生する欧州経済領域内の個人情報取得が、「個人情報の移転」に該当するため企業側ではGDPRに準拠した手続きが必要です。
今後も個人情報保護法の改正等に注目
企業が取り扱う個人情報が爆発的に増加したことで、一般ユーザーの権利・利益が脅かされる機会が増えています。そうした事態を改善していくためにも、個人情報保護法などは継続的に改正されていくでしょう。皆さんもその動向を追いながら、個人情報保護法やGDPR等に準拠するよう意識していきましょう。
