IT Topics 2022 topic03 個人情報保護法

令和2年個人情報保護法一部改正が2022年4月に本格的に施行されます。企業は特に次の2点について調査・実装に時間を要するため、対応を急ぐ必要があります。

• 個人関連情報第三者提供規制の新設
• 個人データ越境移転の規制強化

また、電気通信事業における個人情報保護に関するガイドライン改正により、一定のクッキー利用について情報提供・同意取得を求める動きが本格化しています。

新設された本規制が適用される典型的な場面は、DMP（Data Management Platform）と呼ばれる事業者（提供元）が取得するクロスサイトの（インターネット上の複数ウェブサイトにわたる）ネット閲覧履歴や購買履歴などから構成される「サードパーティ・データ」を企業（提供先）に提供し、提供先企業がこれを自社顧客について保有するデータと結合し、特定された顧客毎の個人データとしてマーケティングなどに利用する場合です。提供先企業は、こうしたデータ購入、データ結合、その目的について自社顧客に情報提供し、その同意を得なければなりません。

このようなクロスサイトの行動データ取得がサードパーティ・クッキーによって行なわれる場合、いわゆるクッキー同意ツール（クッキーバナー）を適切に実装するとともに、本人の同意・拒否の選択に合わせてウェブサイトに設置したタグ動作を適切にコントロールできるよう、タグ・マネジャー設定の追加・見直しを行なう必要があります。

企業のウェブサイトで利用されるクッキーについては、もう一つ重要な制度改正の動きがあります。総務省は、2021年11月2日の「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」会合で、「電気通信事業における個人情報保護に関するガイドライン改正 骨子（案）」を示し、そのなかで「プラットフォーム事業者、アプリケーション提供事業者、ウェブサイト運営者、広告事業者等の利用者情報を取得する事業者は、自らが取得する利用者情報及び情報収集モジュールやタグなどについて十分把握した上で、取得する利用者情報の種類や利用目的などに応じて、利用者が理解できるように通知・公表や必要に応じた同意取得を行うことが重要」との見解を示しました。

同ガイドラインがこの方向で改正されると、これまで自主規制に委ねられてきたターゲティング目的のクッキーなどの利用について、情報提供および同意取得が義務づけられることになります。

個人データを国外の第三者に提供（越境移転）することが適法とされる条件は、上図の通りです。令和2年改正ではこのうち、① 本人の同意による場合、② 基準適合体制（移転元・移転先間の契約などにより個人情報保護法と同等のデータ保護義務を移転先に課すこと）による場合について、規制が強化されました。

①の本人の同意による越境移転では、移転先国名、移転先国の個人情報保護制度に関する情報（例えば、GDPRにもとづく十分性認定を受けているか、APEC CBPRに参加しているか、OECDプライバシーガイドライン八原則に対応しているかなど）を、同意に先立って本人に提供する義務が追加されました。

②の契約などにもとづく保護を適法条件とする越境移転では、移転元は、移転先からの報告などにより、契約などによる保護措置の実施状況、当該保護措置に支障を及ぼす状況の有無について年1回以上確認すべきことが義務づけられました。また、本人から求めがあった場合、移転元・移転先間の契約による個人情報保護の内容などについて情報提供すべきことも義務づけられました。

これらは、関係するデータ、当事者の洗い出し、プライバシーポリシーの改定、関係当事者との契約、ウェブサイトの実装などに時間を要するため、4月の施行前に早めに準備を始める必要があります。IIJでは、こうした規制に関連する情報提供、規制遵守のための実装支援などを行なっています。