個人情報保護法は今どうなっているのか?

 2020.08.25  カスタマーデータ活用ポータル編集部

個人情報保護法の改正案(個人情報の保護に関する法律等の一部を改正する法律)が、2020年3月に国会に提出され、6月に可決しました。改正法の施行は一部を除き、2022年までに行われることとなっています。しかし、具体的に何が変わって、どのように対応しなければならないかを知りたい方は多いのではないでしょうか。

そこで今回は、個人情報保護法の改正案の改定ポイントや、諸外国における個人情報管理の動向などについて解説します。

個人情報保護法設立の背景と経緯

個人情報保護法は、2003年に成立して2005年から全面施行されており、今日に至るまで適宜見直しされ続けてきた法律の一つです。個人情報保護法が制定された背景には、情報化社会の進展とプライバシー問題の認識が最も大きな理由の一つとして挙げられており、個人情報の保護は海外においても重要視されています。

今回の個人情報保護法の改正案については、2019年にプライバシーに関するさまざまな問題が公になったことがきっかけです。たとえば、就職情報サイト「リクナビ」による「内定辞退率」の問題や、破産者の情報をGoogleマップ上にまとめた「破産者マップ」などが、個人のプライバシー侵害・人権侵害として問題になりました。

これらが問題となった背景には、改正前までの個人情報保護法においては、個人情報の利用が適切かどうかはあまり重要視されていなかったことが、要因の一つとして挙げられるでしょう。改正後は個人情報の利用に「根拠」が求められることとなり、より一層個人情報を取り扱う際に注意が必要となります。

これは世界的な潮流でもあり、海外ではすでに広まっているため、日本はその背中を追いかける形です。今後は個人情報の利用そのものについて、利用目的をしっかりと通知した上で利用する根拠に沿った使い方ができているかを検討しなければなりません。

主な改定のポイント

個人情報保護法の改正案の概要とあわせて、改正のポイントについて見ていきましょう。

個人情報保護法の改正案の概要

改正案では大きく次の6つの内容が改正されています。

改定内容

改定の概要

個人の利権の在り方

保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できるようにする

事業者の守るべき責務の在り方

違法または不当な行為を助長するなどの不適切な方法により、個人情報を利用してはならない旨を明確化する

事業者による自主的な取り組みを促す仕組みの在り方

企業の特定分野を対象とする団体を認定できるようにする

データ利活用に関する施策の在り方

個人関連情報における第三者提供について、本人同意が得られていることの確認を義務付ける

ペナルティの在り方

法定刑、罰金刑の引き上げ

法の域外適用・越境移転の在り方

国内の外国事業者、外国にある第三者への個人データ提供時も法適用の対象とする

ここでは、改正案のごく一部を抜粋していますが、詳細については個人情報保護委員会が公表している「個人情報保護法改正の交付について」をご参照ください。

改正のポイント「個人関連情報」とは

個人情報保護法の改正案において、注目するべきポイントは「個人関連情報」という新しい概念が生まれていることです。個人関連情報は「生存する個人に関する情報であって、個人情報・仮名加工情報および匿名加工情報のいずれにも該当しないもの」と定義されています。

具体的には、DMP(Data Management Platform)ベンダが保有する属性情報が該当するものです。DMPベンダはユーザーの属性情報を保有しており、DMPベンダと連携する会員情報を保有するサイトは、DMPベンダの属性情報から個人を特定することができるようになっています。そのため、DMPベンダにおいては個人情報とはならない属性情報も、個人を特定する情報になり得ることから「個人関連情報」として改正案で定められたのです。

そのことにより、データを受け取る側もデータの提供元がユーザーの同意を得ているかを確認する義務が生じることに。近年では、さまざまなWebサイトを訪れた際にCookieの利用に関して同意を求められることが多く、実際に見たことのある方も多いのではないでしょうか。あの同意を求める表示は個人関連情報に対する施策であり、海外では以前から実施されていたものです。

日本においても個人のプライバシーを守るための施策として、取り入れられ始めています。

諸外国における個人情報管理の動向

海外では日本よりもひと足早く、個人情報・プライバシーの保護を目的とした法令が施行されています。その代表的なものが「CCPA」と「GDPR」であり、それぞれ内容を簡単に見ていきましょう。

CCPAとは

CCPAはCalifornia Consumer Privacy Actの略称であり、カリフォルニア州消費者プライバシー法と呼ばれるものです。カリフォルニア州の住民を対象とした個人データの保護に関する法律で、2020年1月から施行されています。

保護対象となる個人情報については、位置情報・インターネット履歴・検索履歴・ショッピング履歴なども含まれており、IT化が進む昨今の情勢に対応する法律となっています。

GDPRとは

GDPRはGeneral Data Protection Regulationの略称で、EU一般データ保護規則と呼ばれるものです。EUでは、かねてより個人情報に関する法整備が進んでおり、GDPRは2018年5月25日に施行されました。

近年では、IT技術の発展によってビッグデータの活用が注目されています。ビッグデータを活用することで新しいサービスなどが提供できるようになりました。しかし、ビッグデータのなかにはユーザーの行動履歴・購買履歴なども含まれており、ユーザーは知らないうちにプライバシーを侵害されている可能性が生じたのです。

そこで、ユーザーのプライバシーを保護するための法律が新たに必要となり、GDPRは世界に先駆けて対応した法律となりました。個人を直接特定できる情報だけでなく、個人を特定でき得る情報である「個人関連情報」も保護の対象とする考え方は、GDPRが大元となっています。

今後の個人情報管理のあり方

今後は日本においても、個人のプライバシー保護を中心とした個人情報の管理が求められます。従来の個人情報管理では、利用に関して適正かどうかはあまり重要視されていませんでしたが、今後は利用の「根拠」が明確に必要となるのです。

また、直接個人を特定できるような情報だけでなく、複数の情報を組み合わせることで個人の特定が可能となる「個人関連情報」の取り扱いにも注意が必要となります。ITの技術が発達し、さまざまな情報を簡単に取得できるようになったからこそ、いまいちど情報の取り扱いについて見直す必要があると言えるでしょう。

個人情報保護法の改正案の詳細については、「個人情報保護委員会の公式サイト」で確認できるため、この機会に確認してみてはいかがでしょうか。


RECENT POST「顧客データ」の最新記事


顧客データ

顧客データ管理に求められる機能と要件

顧客データ

ID管理にもクラウド型の波

顧客データ

コンシューマー向けサービス提供に欠かせないアクセス管理の基本

顧客データ

今求められる顧客情報の管理と活用

個人情報保護法は今どうなっているのか?