改正個人情報保護法の影響は?海外拠点の外部ECソリューションを利用している場合は要注意!
2022年4月1日より、改正個人情報保護法が施行されました。これは、2020年6月に行われた改正によるもので、国際的なプライバシー問題への関心の高まりなどから、個人情報取得に関する規制が強化されています。
ECにおいても改正の影響は大きく、プライバシーポリシーの改定など、さまざまな面で対応を迫られています。今回の改正を受けて海外のECソリューションから、日本のECソリューションへの乗り換えを検討している企業もあるでしょう。
では、今回の改正でどのような点が変更されたのでしょうか。今回の記事では、改正の概要とその背景について解説したうえで、外国の事業者にデータを提供している場合に絞って、企業に求められる対応方法についても紹介していきます。
2022年4月1日より、改正個人情報保護法が施行されました。これは、2020年6月に行われた改正によるもので、国際的なプライバシー問題への関心の高まりなどから、個人情報取得に関する規制が強化されています。
ECにおいても改正の影響は大きく、プライバシーポリシーの改定など、さまざまな面で対応を迫られています。今回の改正を受けて海外のECソリューションから、日本のECソリューションへの乗り換えを検討している企業もあるでしょう。
では、今回の改正でどのような点が変更されたのでしょうか。今回の記事では、改正の概要とその背景について解説したうえで、外国の事業者にデータを提供している場合に絞って、企業に求められる対応方法についても紹介していきます。
個人情報保護法改正の概要
はじめに、今回の改正の主なポイントについて紹介していきます。
@仮名加工情報の新設
まず、挙げられるのが「仮名加工情報」が新設された点です。仮名加工情報とは、他の情報と照らし合わせることで個人を識別することが可能な情報のことを指します。
これまでは、「匿名加工情報」と呼ばれる、特定の個人を識別できないように加工された情報に限って、本人の同意なしで一定のルール下でのデータの利用が認められていました。しかし、完全匿名化のハードルが高く、データの活用にコストがかかってしまうという問題が指摘されていました。
今回の改正では、匿名加工情報よりも加工が簡単な仮名加工情報というカテゴリを新設し、情報活用のハードルを下げることで、ビッグデータの活用を促進するというねらいがあります。
なお、先述の通り、仮名加工情報は他の情報と照合することで個人を識別することができるため、他の情報と照合してはいけないなどの条件が設定されています。
A個人関連情報の新設
続いて紹介するのは、「個人関連情報」の新設です。個人関連情報とは、個人情報や仮名加工情報、匿名加工情報のいずれにも該当しない情報のことを指します。
具体的には、Webサイトの閲覧履歴やサービスの利用履歴、メールアドレスに紐づいた個人の年齢・性別などの情報が挙げられます。
今回の改正では、個人関連情報を第三者に提供する場合、提供先が他の情報と照合して個人を識別することが想定される場合に、提供先事業者による本人からの同意取得が必要となりました。
個人を識別できない情報を提供しつつも、提供先が個人を識別して情報を利用していることが発覚した、2019年の「リクナビ事件」などが問題視され、今回の改正に至ったとされています。
B外国にある第三者への提供の制限
また、外国の事業者が日本の個人情報を取り扱う際の規制についても強化されています。
改正前は、以下のいずれかの条件を満たす場合のみ、外国の第三者への個人データ提供が許可されていました。
- ・本人(サービス利用者)の同意を取得すること
- ・提供先が基準に適合する体制を整備した事業者であること
- ・提供先が日本と同等水準の個人情報保護制度が整備されている国(EU、イギリスなど)であること
- 改正後は条件が以下の2点が変更されています。
- ・本人の同意を取得する場合、データ移転先の国名、移転先の国における個人情報保護に関する制度についての情報を本人に提供しなければならない
- ・提供先が基準に適合する体制を整備した事業者の場合、データ移転先事業者のデータ取り扱い状況を定期的にチェックする体制を整え、本人の求めに応じてその情報を提供しなければならない
外国の第三者への個人データを提供する場合は、新規に追加されたこれらの条件を満たせるよう、対応しなければなりません。
個人情報保護法改正の背景
では、なぜこのような改正がなされたのでしょうか。ここからは、個人情報保護法改正の背景について解説していきます。
3年毎見直しのルール
個人情報保護法には、3年毎に見直しを行うというルールが設けられています。これは、2015年の改定で新たに設けられたもので、個人情報の保護に関する国際的動向や情報通信技術の発展などによって変化する状況に対応するために定められたルールです。
2022年4月から施行されている今回の改正は、2回目の見直しを受けての改正となります。
国際的な個人情報保護への関心の高まり
2018年にEUで「GDPR」と呼ばれる個人情報保護に関する法令が施行されたことを皮切りに、近年ではアメリカ、タイ、インド、韓国などで次々と消費者の個人情報を保護するための法律が制定・施行されています。
世界各国がインターネットで接続されている現代において、この動向は決して他人事ではありません。例えば、EU居住者が日本のWebサイトから商品を購入する場合、サービスを提供している企業はその消費者の氏名やクレジットカード番号などをGDPRに基づいて管理しなければなりません。
このような世界の個人情報保護に関する制度の水準に合わせるため、改定が行われているという側面もあります。
国際的な個人情報保護への関心の高まり
また、日本国内でも、個人情報管理に関する問題意識は高まっています。2019年の「リクナビ事件」では、利用者の想定していない用途で個人情報が使用されてしまったことが問題視され、世間でも大きな注目を集めました。
一方で、日本ではビッグデータの活用が進んでいないことから、データを活用するためのハードルを下げ、適切なデータ加工・管理のルールを定めたうえでデータの利活用を促すというねらいもあるものと考えられています。
改正に伴って対応が必要なこと
続いて、今回の改正により、企業にどのような対応が求められているのかについて解説します。改正による影響は多岐にわたるため、今回は海外拠点の外部ソリューションに個人情報を委託している場合に絞って、企業に求められる対応を紹介していきます。
なお、個人情報保護委員会によってプライバシー保護の制度が日本と同等の水準にあると定められている国や地域は、本対応の対象外となります。
@提供先の外国の事業者が個人情報保護委員会規則の基準適合体制を整備する
これまでは、基準適合体制を満たした事業者であれば、本人の同意を得ることなく外国の事業者にデータを提供することが可能でした。
しかし、今回の改正を受けて、当該の事業者による相当措置の実施状況を定期的に確認することや、個人情報の取り扱いに問題が発生した際に第三者へのデータの提供を停止することが義務付けられました。また、本人からの求めに応じて、上記の措置に関する情報を提供することも義務付けられています。
A利用者の同意を得る際にデータ移転先の情報を提供する
利用者本人の同意を得る際、以下3つの情報を提供することが必要になりました。
- ・提供先の第三者が所在する外国の名称
- ・適切かつ合理的な方法により得られた、上記の外国における個人情報保護制度に関する情報
- ・提供先の第三者が講じる個人情報保護のための措置に関する情報
簡潔にまとめると、データを提供する先の国名と、その国の個人情報保護に関する制度及び提供先の事業者が実施している個人情報保護に関する措置について、利用者に提示しなければならなくなった、ということです。
具体的な対応方法
続いて、上記で説明した対応の具体的な方法について紹介します。
@の場合
まず、適切かつ合理的な方法によって、提供先の事業者による個人情報保護措置の実施状況を年に1回以上のペースで確認する体制を構築しなければなりません。 外国の事業者にデータの取り扱いを委託しており、提供先との契約や覚書を締結している場合は、定期的に契約内容の履行状況を確認することが求められます。また、同一の企業グループ内での越境データ移転で、共通のプライバシーポリシーを制定している場合は、定期的なプライバシーポリシーの履行状況の確認が必要となります。
また、個人情報の取り扱いに問題が発生した際の対応フローも整備が必要です。 外国にある事業者とデータ提供に関する契約を締結しているにもかかわらず、提供先の事業者が契約上のデータ保護の義務を守らなかった場合には、是正要請を行うなどの対応が求められます。そして、是正の要請を行ったにも関わらず、改善が見られない場合は、データの提供を停止するなどの措置が必要となります。
加えて、利用者本人からの求めに応じて、個人情報保護のためにどのような措置を実施しているのかを提供する必要があるため、事前にそれらの情報を整理し、いつでも提示できる状態にしておかなければなりません。
Aの場合
先述の通り、同意を得る際には、データ提供先の国名、提供先の外国での個人情報保護に関する制度及び提供先の事業者による個人情報保護のための措置についての情報を利用者に提供する義務があります。
提供先の外国の個人情報保護制度については、「適切かつ合理的な方法」で得られた情報を提示する必要があるとされています。これは、日本または提供先の国の行政機関が公表している情報などが該当します。
また、日本の個人情報保護の制度と提供先の国の制度との差異が明確に分かる情報が必要となります。
なお、各国の個人情報保護制度については、個人情報保護委員会が行った調査結果が以下のページで公表されており、これを参考にすることも可能です。 外国における個人情報の保護に関する制度等の調査
また、提供先の事業者による個人情報保護措置についての情報も提供する必要があります。この点においても、日本の法律に基づいた日本の事業者による個人情報保護の制度との差異が明確に分かる情報が求められます。
ただ、提供先が「OECD8原則 」に対応する措置を講じている場合に限り、その旨を伝えるだけでよいとされています。OECD8原則とは、OECD(経済協力開発機構)が1980年に採択したプライバシー保護などに関するガイドラインで、「目的明確化の原則」「利用制限の原則」「収集制限の原則」などが含まれています。
海外のECソリューションからの乗り換えも視野に
アメリカやカナダなどの国は、プライバシー保護の制度が日本と同等の水準にあると定められていないため、これらの国に拠点を持つEC外部ソリューションを利用している場合は、上記の対応が必要となります。
しかし、どの方法をとるにしても、提供先の企業と緊密に連携を取って対応する必要があり、大きなコストがかかります。 そこで、今回の法改正を機に国内のECソリューションに乗り換えを行うという選択肢も十分に考えられます。法改正の対応にかかるコストを見積もり、あまりにコストがかかりすぎるようであれば、乗り換えも視野に入れなければなりません。
まとめ
ここまで、2022年4月から施行されている改正個人情報保護法について解説してきました。
今回は、外国の事業者にデータを提供している場合に絞って対応を紹介しましたが、今回の改正の内容は多岐にわたっており、多くの企業でプライバシーポリシーの見直しなどが求められています。
利用者とのトラブルを避けるためにも、現代の個人情報保護に関する考え方やトレンドを理解したうえで、今回の改正の意図や背景を把握し、適切なデータ管理のためのルールの整備を進めていかなければなりません。
また、個人情報保護法は3年見直しのルールがあるため、今後も定期的な改正が行われていくでしょう。法改正による制度変更に柔軟に対応できるよう、普段から関心を高めておく必要があります。