個人情報保護法改正によって必要となる修正のポイント ニュースレター第15号
目次
1.はじめに
個人情報保護法の令和2年改正法が、2022年4月1日から施行されました。個人情報はビジネスのいろいろな面で取り扱われていると思います。今回の改正は比較的大きくされたので、対応が必要な企業・個人も多いかと思います。対応が必要な点は多岐にわたりますが、今回は、多くのご相談を受けている、ウェブサイト等でプライバシーポリシーをお持ちの場合、今回の法律の改正によって修正が必要な点について検討したいと思います。
2. プライバシーポリシー
「プライバシーポリシーとは何なのか」「そもそも作らなければならないのか」という疑問があるかもしれません。
プライバシーポリシーを作ることを義務付けられている訳ではありません。実は、個人情報保護法には「プライバシーポリシー」という言葉はでてきませんし、個人情報保護委員会が策定した個人情報の保護に関するガイドライン(通則編)(「本ガイドライン」)にも一回その言葉がでてくるだけです。
個人情報保護法には、「公表」「容易に知り得る状態に置く」「本人の知り得る状態に置く」ことを求められている事項があります。
プライバシーポリシーはウェブサイトに掲載することが多いため、プライバシーポリシーにこれらの事項を規定しておくことによりクリアできます。また、プライバシーポリシーに同意してもらうことによって、個人情報保護法上必要とされている「同意」を得ることが可能です。
他には、例えば、「法律上許容される場合を除き、お客様の個人データを第三者に提供しません」等、企業の方針の宣言をするために、「プライバシーポリシー」が利用されることも多いです。今回は、プライバシーポリシーがこれらの目的のために作成されていることを前提に、今回の改正法による修正点を検討します。
3.利用目的
個人情報取扱業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならず(個人情報保護法第17条)、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければなりません(個人情報保護法第21条1項)。
「公表」とは
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、自社のホームページのトップページから1回程度の操作で到達できる場所へ掲載すれば「公表」といえるため、プライバシーポリシーに記載することでその要件をクリアすることができます。この点は、令和2年改正法の前から変更はありません。
しかし、本ガイドラインが修正され、個人情報を取り扱う者が、利用目的をできるだけ特定したといえるためには、個人情報が①どのような事業の用に供され、②どのような目的で利用されるかについて明確な認識を持ち、③できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、④本人の予測を可能とすることが必要であるとされました。
注意すべきポイントは、本ガイドラインで、「事業活動に用いるため」「マーケティング活動に用いるため」「お客様のサービス向上」が、抽象的、一般的であり、具体的に利用目的を特定したことにはならない例として挙げられていることです。
具体的に利用目的を特定している適切な事例
一方、具体的に利用目的を特定している適切な事例としては、「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」が挙げられています。
いわゆる「プロファイリング」といった、本人に関する行動・関心等の情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。
以上の内容は、プライバシーポリシーの修正の時の参考になります。「お客様の声」の利用目的も、「今後、当社のさまざまな事業活動に役立たせていただきます。」では足りず、「事業活動」ももっと具体化して「今後、商品Xの改善のために利用させていただきます。」にする必要があることになります。
5.仮名加工情報の利用目的
令和2年改正法で、「仮名加工情報」が創設されました。「個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。」とされています。
「仮名加工情報」とは
仮名加工情報とは、個人情報当該個人情報に含まれる記述等の一部を削除する等の措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます。
過去に取得した個人情報を仮名加工情報に加工することにより、本人の同意を得ずに個人情報の利用目的とは別の目的のために利用できることになります。ただし、仮名加工情報の利用目的は公表しなければなりません。
5.保有個人データに関する情報提供事項
保有個人データについては、原則として、所定の事項について「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合も含む。)に置」く必要が規定されています(例外もあります)。
この所定の事項に、(1)当該個人情報取扱業者の住所及び代表者の氏名(法人の場合)(2)個人データを第三者に提供しまたは提供を受ける際の記録の開示請求の手続きの方法(3)保有個人データの安全管理措置、が追加されましたので、これらがまだ本人の知り得る状態に置かれていない場合は、追記するか、遅滞なく回答できるようにしておく必要があります。
(1)については、自社の「会社概要」等に掲載されていれば、プライバシーポリシーからそれを参照できるようにすることが考えられます。
(2)は、保有個人データの利用目的の通知の求め、保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止の手続きの方法は今までも情報提供事項でしたので、同じ手続きであれば対象に第三者提供に関する記録を加えればよいと思います。
(3) 保有個人データの安全管理措置については、プライバシーポリシーに文言を加えればすむ問題ではなく、実際にそのような安全管理措置をとっている必要があります。
逆に、本人の求めに応じて遅滞なく回答できればよいので、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能です。
講ずべき安全管理措置の内容
本ガイドラインには、別添として「講ずべき安全管理措置の内容」として、1,基本方針の策定、2.個人データの取扱いに係る規律の整備、3.組織的安全管理措置、4.人的安全管理措置、5.物理的安全管理措置、6.技術的安全管理措置、7.外的環境の把握が記載されていますので(本ガイドライン162頁 個人情報の保護に関する法律についてのガイドライン(通則編)‐個人情報保護委員会‐ (ppc.go.jp))、これらを参照して安全管理措置をとっておくことが必要です。
なお、7の「外的環境の把握」とは、①外国において個人データを取扱う場合に、②当該外国の個人情報保護制度等を把握したうえで、③個人データの安全管理のために必要かつ適切な措置を講じることです。
②の当該外国の個人情報保護制度については、現時点で31の国又は地域について個人情報保護委員会が情報を公表しているので参考になります。
6.個人データの越境移転の際の情報提供
個人情報取扱事業者は、外国にある第三者(英国およびEEA加盟国を除く)に個人データを提供する場合には、一定の例外を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければなりません。
そして、その本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならず、また、個人情報取扱事業者は、個人データを外国にある第三者に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならないため、これらの情報提供をプライバシーポリシーで行うことが考えられます。
7.共同利用
特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、①共同利用をする旨、②共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的、⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を提供に当たりあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、第三者に該当しない。
すなわち、個人情報の第三者提供の手続きをとることなく、個人情報を利用することができます。したがって、これらの情報をプライバシーポリシーに掲載することが考えられます。
8.オプトアウトの方法による個人情報の第三者提供
個人情報取扱事業者は、個人データの第三者への提供に当たり、所定の事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができます(オプトアウトによる第三者提供)。
この通知する所定の事項に、(1)個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名、(2)第三者に提供される個人データの取得の方法、(3)第三者に提供される個人データの更新の方法、(4)当該届出に係る個人データの第三者への提供を開始する予定日が追加されました。
オプトアウトの方法による個人情報の第三者提供をされている方は、今までのものに、これらの情報を加える必要があります。
9.まとめ
元々プライバシーポリシーにどこまで規定するかによっても変わってきますが、以上が、今回の個人情報保護法の改正によって修正しなければならないプライバシーポリシーの主な点です。個人情報保護違反とされないよう、確認されることを強くお勧めします。