ページタイトル

コラム

ページタイトル画像
HOME>コラム
印刷ボタン
タブ風リンクボタン
お知らせ:カテゴリメニュー
コラム
お役立ち

2020年改正個人情報保護法のポイントと実務上知っておくべきこと

膨大なビッグデータが利活用される現代社会では、個人情報を扱う環境も目まぐるしく変化します。この社会情勢を踏まえ、改正個人情報保護法には施行後3年を目途として内容を見直す規定が盛り込まれていることをご存知でしょうか。本記事では、2020年6月12日に公布され2022年までに施行される改正個人情報保護法の基礎知識、新設された項目、個人情報を扱う事業者が知っておくべきポイントを解説します。

そもそも個人情報って何のこと?

個人情報とは、「生きている個人に関する」「特定の個人を識別できる」情報です。個人情報保護法における「特定の個人を識別できる」情報として、以下が挙げられています。

  • 氏名、生年月日、住所、顔写真などにより特定の個人を識別できるもの
  • 個人を識別できる符号が含まれるもの

(1)顔、指紋・掌紋、虹彩、手指の静脈、声紋、DNAなど、身体の一部の特徴を電子的に利用するために変換した符号
(2)マイナンバー、旅券番号、免許証番号、基礎年金番号、住民票コード、各種保険証の記号番号などの公的な番号

【参考】
政府広報オンライン『これだけは知っておきたい「個人情報保護」のルール(2018年3月23日)』
https://www.gov-online.go.jp/useful/article/201703/1.html

「改正」個人情報保護法の成り立ちと基本ルール

個人情報の保護と適切な利活用を求め、個人情報保護法※は2003年5月に成立し、2005年4月に全面施行されました。その後、スマートフォンやSNSの普及を始めとする社会変化などを踏まえて、2015年に改正。2017年5月30日からは、改正個人情報保護法が全面施行されています。
※正式名称は「個人情報の保護に関する法律」

当初は5,001人以上の個人情報を有する事業者のみが適用対象となっていましたが、2017年の法改正により、中小企業や小規模事業者、NPO、町内会、同窓会などの団体も含め、個人情報を事業に利用するすべての事業者・団体が守るべきルールに。また、IT技術の進展が著しいことを踏まえ、法案を3年ごとに見直す内容も盛り込まれることになりました。事業者・団体が個人情報を取り扱う際は、以下の基本ルールを守ることが求められます。

【個人情報を扱う際の基本ルール】

  1. 取得時に利用目的をきちんと説明する
  2. 利用目的の範囲内で使う
  3. 安全に保管する
  4. 第三者へ渡す時は原則としてあらかじめ本人の同意を得る
  5. 本人からの請求があった場合、個人情報の開示、訂正、利用停止などに対応する

詳しい内容やガイドラインは、「個人情報保護委員会のウェブサイト」をご確認ください。
https://www.ppc.go.jp/personalinfo/

2020年に創設された主な項目とは?

2019年に起きたいわゆる「リクナビ事件」では、サイト運営会社が登録者の行動履歴データを基に、AI技術で算出した学生の内定辞退率を企業へ販売していたことが問題になりました。この事件を受け、2020年6月12日に公布された改正個人情報保護法では、個人の権利を守り、事業者への規制やペナルティを強める一方、個人データの利活用を促すための法整備が整えられています。
そこで、2022年までに施行される改正個人情報保護法において、実務上で知っておきたい2つの新設項目を紹介します。

●仮名(かめい)加工情報

2017年改正時、ビッグデータの利活用を目的として「匿名加工情報」が新設されました。しかし、個人情報を復元不可能にまで加工したデータであったため内容が薄く、扱いづらい面がありました。そこで、規制を一部緩和して新設されたのが「仮名加工情報」です。
これは、例えば氏名・性別・年齢から成り立つデータにおいて、氏名を仮名にするなどで個人を特定できないようにした情報のこと。「匿名加工情報」との違いは、他の情報と照合することで、特定の個人を識別できる(復元可能性がある)点です。仮名化された情報は企業内での使用が容易になり、ビッグデータの利活用が進むと期待されています。

●個人関連情報の第三者提供の制限等

生存する個人に関する情報でありながら、先に紹介した個人情報・匿名加工情報・仮名加工情報のいずれにも当てはまらないのが「個人関連情報」です。これはリクナビ事件でも問題になった、行動履歴を保存するCookieやIPアドレスなど、データ単独では特定できないものの、他情報と紐付けることで個人を特定できる可能性のある情報です。

2020年に公布された改正個人情報保護法では、この「個人関連情報」を取得・利用する事業者(個人関連情報取扱事業者)が、他社(第三者)へ情報提供をする場合も、データに関わる本人の同意を求める義務を負うことになりました。つまりは、Cookie利用に関する同意は、第三者へ提供するよりも“先に行われなければならない” のです。
従来は、Webサイト訪問者の責任においてCookie利用を後から停止させる「オプトアウト方式」が一般的でした。しかし近年は、Webサイトへ訪れた時点でCookie利用についてのバナーで同意を得る「オプトイン方式」を採用するサイトが急増しています。このステップを挟むことで、訪問者がWebサイトを閲覧する前にCookie利用に関する同意を得ることができるのです。

個人情報についての知識は日々アップデートを

超・情報化時代の到来が避けられない今後、個人情報の取り扱いはますます厳しくなるでしょう。あらゆる個人情報を扱う事業者は、顧客からの信頼を失わないよう、事前に説明責任を果たした上で必要なデータを取得することが重要に。ビッグデータをマーケティング戦略に利活用し、優れたサービスや製品を生み出すためにも、企業には個人情報に関する知識を日々アップデートし続ける姿勢が求められます。

一覧へ

Web・IT・AI技術で知りたかったが見つかる 無料オンラインセミナー開催中    Web・IT・AI技術で知りたかったが見つかる 無料オンラインセミナー開催中