個人情報保護法改正によってサービス運営・システム開発はこう変わる！？具体的な対策をご紹介

2022年4月に施行される個人情報保護法改正により、企業のデータ利活用に配慮すると同時に、個人情報保護が強化されています。個人情報の扱いは以前と大きく変更されるため、個人情報を扱う企業はサービス運営やシステム開発にも変更を加える必要があります。
そこで今回は個人情報保護法改正によって変わるサービス運営やシステム開発、改正に伴い講じるべき対策を解説します。

個人情報保護法改正について確認する前に確認しておくべきポイント

2020年6月に個人情報保護法改正が成立し、2022年4月の施行が決定しました。また2020・2021年は施行までの準備期間として、法令やガイドラインなどの整備が進められています。
特に個人情報を取り扱う事業者は、法改正に向けてサービス運営やシステム開発、制度などの変更や対応が発生します。まずは個人情報保護法改正について、事前に押さえておくべきポイントをお伝えします。

個人情報保護法と法改正について

2005年に成立した個人情報保護法は、個人情報に対する社会意識の変化やITの進歩に伴い、2015年に初の改正が実施されました。2015年改正の個人情報保護法は2017年に施行され、それ以降は3年ごとに見直しすることも決定。
そして3年後にあたる2020年に、2回目の法改正が成立しています。さらに2017年施行の法改正では、個人情報が漏えいした際の追跡に関するトレーサビリティや個人情報を守りつつも事業者がデータ活用できるよう配慮した「匿名加工情報」の新設などが実施されました。
そして今回の法改正では、前回改正の補完的な内容が盛り込まれています。事業者が個人のデータを利活用しやすくなった一方で、同時に個人情報保護の強化も目的としている点が特徴です。

仮名加工情報について

今改正で注目度が高いものに「仮名加工情報」の新設があります。仮名加工情報とは、個人が識別できる情報を削除、または情報を置き換えることで仮名化された情報です。他の情報と照合しない限り個人は特定できないため、個人情報保護が強化されています。
仮名加工情報が新設された背景には、2017年施行の改正で新設された「匿名加工情報」の扱いの難しさがあります。匿名加工情報は個人情報保護の面では優れているものの、データの加工程度の難しさや分析精度の粗さに課題がありました。
そこで仮名加工情報であれば、加工前のデータと同等の精度を誇るため、企業のデータ利活用の促進に期待できます。つまり仮名加工情報は、データ活用の利便性と個人情報保護のバランスが取れた情報といえます。
またデータ利活用の面で利便性の高い仮名加工情報ですが、基本的に第三者への提供は制限されているため、他社へ提供する統計データとしては利用できない点に注意しましょう。

個人関連情報について

仮名加工情報の新設と合わせて、注目度の高い改正内容が「個人関連情報の第三者提供の制限」。個人関連情報とは生存する個人の情報であり、それだけでは個人が特定できない情報です。個人関連情報に該当するのは、Cookie情報やIPアドレス、インターネット利用のログ履歴などです。個人情報・仮名加工情報・匿名加工情報とは別物であり、個人が特定できなくとも、第三者への提供には本人の同意を得る必要があります。なぜなら第三者が保有する個人データと照合することで、個人の権利利益が侵害される恐れがあるからです。

個人情報保護法改正によってサービス運営・システム開発はどう変わるのか？

今回の個人情報保護法改正は個人情報を扱う事業者には大きな影響を与えるもので、サービス運営やシステム開発においても対応が必要となります。なかでも影響を与えるのは、個人関連情報の本人同意取得や、個人情報を持つ本人がデータの利用停止を請求できるといった内容についてです。
ユーザーのCookie情報や購買履歴などのデータを活用して広告配信している、またはデータを収集するDMP等を提供している事業者は、個人関連情報を使用するにあたり本人同意が必須となります。
そのため個人関連情報を扱って事業を行なっている場合やサービスを運営している場合は、データ取得から第三者提供に至るまでのシステムの見直しが必要です。ユーザーがどこまで同意しているか、同意に基づいて適切にサービスが運営されているかを日々チェックできる体制づくりが求められます。
またユーザーから個人情報の利用停止請求があった際には、迅速に対応できるようシステムや対応フローの構築も必要です。つまりこれまで以上に個人情報保護法に慎重に、サービス運営及びシステム開発することが求められます。

個人情報保護法改正によって考えられるリスク

仮名加工情報の新設により企業がデータ利活用しやすくなった一方で、個人情報の保護も強化されています。これまでは違法にあたらなかった内容でも、改正後は法的に問われ罰則が課されてしまいます。
実際に改正内容を知らず対応できなかったでは済まされない問題です。以下のリスクをあらかじめ押さえておきましょう。

①同意取得できていないデータを利用してしまう

改正施行後、個人情報に紐付かないCookieやインターネットのログ情報を第三者に提供する際は、提供先が自社のデータと紐付けた際に個人を特定できる場合に限り同意取得が必須です。ユーザー全員が必ずしも同意するとは限らないため、同意が得られている情報と得られていない情報の仕分けが必要になります。
また、同意取得の方法に関しても、書面やメールでの取得、同意確認欄へのチェック等、本人からのアクションで持って認められるとされる可能性があります。この点についてはまだ明確になっていないため、引き続きガイドラインのチェックが必要になるでしょう。
現行法では、同意なくして個人関連情報を第三者に提供した場合でも、法的には問われませんでした。しかし改正施行後は法律違反にあたり、罰則が課されるため要注意です。

②公表している利用目的から逸脱してしまう

取得した個人情報の利用目的はプライバシポリシーに表示することが義務付けられていますが、今回の法改正では公表すべき事項がいくつか追加されました。そのうちの1つが個人データの処理の方法であり、具体的には「何のデータを」「どのように利用するのか」を改めて明確化することが求められています。
目的外利用を防止するためには、改めてプライバシポリシーを見直し、必要に応じて更新する必要があります。現行法では問題なかった表現が使用できなくなる可能性も指摘されているため、その場合はガイドラインに則った内容に改訂しなければなりません。特に利用目的については、関連部署でしか把握していない情報が存在する可能性もあるため、法務との連携を強めていかなければならないと考えられます。

個人情報保護法改正に伴う対応

ここでは個人情報保護法改正に伴い、企業が行うべき対応についてみていきます。

プライバシーポリシーの見直し・CMPの導入

まずは既存のプライバシーポリシーを、改正個人情報保護法に則ってアップデートすることが必要です。また本人同意を得た適切なデータが使用できるよう、CMP（Consent Management Platform）の導入も求められます。
「同意管理プラットフォーム」であるCMPは、自社サイト内の外部サービスを検知し、適切な同意取得を管理します。ユーザーがサイトにアクセスした際に自らプライバシー設定を管理でき、設定内容が記録されるため、同意プロセスの追跡が可能です。
まずは個人情報保護の基本となる、本人同意の取得に対応できるツールやシステムの導入が第1ステップとなります。

オプトアウト対応

2017年に施行された個人情報保護法では、トレーサビリティの確保が必要になりました。これは個人データを第三者に提供する場合、データ取得の経緯や提供者の氏名などの情報を一定期間保存する取り決めです。トレーサビリティの確保はデータを渡す側、受け取る側双方が対応しなければなりません。
今改正ではオプトアウト適用範囲が厳格化され、不正取得や既にオプトアウトで取得したデータについてはオプトアウトを利用できなくなりました。そのため、取得したデータにオプトアウトが適用されるのかどうかを判断するという意味では、トレーサビリティの確保は今まで以上に重要性を高めていると言えます。
自社がデータを提供する場合は勿論ですが、提供を受ける場合についても、「どこで取得したデータなのか」「本人の同意はあるのか」などの確認が必要になってくるため要注意です。

セキュリティ対策の強化

今改正では個人情報の漏えいが発生した場合に、個人情報保護委員会だけでなく本人への通知も義務付けられます。さらにどの個人データが漏えいしたかを特定できない場合には、可能性のある全ての個人に報告することが求められます。
本人への通知が義務となることで報告義務の負担は大きく、さらに然るべき対応ができないことで法令違反になってしまう可能性もあります。インシデント発生時には漏えい範囲を明確にし、被害拡大防止の対策や関係者への報告など、あらゆる対応が求められます。
そもそものセキュリティ対策を強化するとともに、最悪のケースに備えてインシデント発生時に迅速な対応ができるよう、あらかじめ体制を整備しておくことが必要です。

まとめ

今回は個人情報保護法改正によって変わるサービス運営やシステム開発、考えられるリスクや具体的な対応をお伝えしました。

今改正は企業のデータ利活用を促す目的もある一方で、これまで以上に個人情報保護が強化されています。個人情報取扱事業者やDMPを利用している企業は、改正内容をもとにサービス運営やシステム開発に然るべき変更や対策を講じる必要があります。今記事を参考に個人情報保護法の内容を押さえ、必要な対策を取り入れましょう。