あと半年、2022年4月で、改正個人情報保護法が施行されます。改正個人情報保護法は、3年ごと見直しに基づく改正で、2022年4月にパワーアップ?します。
改正個人情報保護法について、意外と時間がないので、今のうちに、しっかりと対応策を考えておきましょう!
そのために、改正個人情報保護法とは、どんな内容なのか、どういったところがポイントなのかを理解しておく必要があります。
この記事では、2022年版 改正個人情報保護法とは、何か?どんな改正ポイントがあるのか、そして、どんな対策を打てればいいのか?といった部分をまとめていきます。
2022年版 改正個人情報保護法とは
2022年4月施行 個人情報保護法改正 – 経済産業省
個人情報保護法
令和2年改正及び令和3年改正案について
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf
改正個人情報保護法は、2022年4月から始めります。基本的には、GDPR(General Data Protection Regulation:一般データ保護規則)に、より近づいた内容になっています。
GDPR(General Data Protection Regulation:一般データ保護規則)
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
こちらは2018年5月25日に施行されているものです。
- 改正個人情報保護法の主なポイントは、
- 個人の権利を保護 GDPRに近づく
- 事業者の義務 追加
- 法令違反 ペナルティ 強化
- データ 利用促進 匿名利用 加工利用
- 第三者提供 新規定 提供先で個人情報になる場合 同意取得が必要
の5つです。
動画には、このように6つのものもありますが。
【改正個人情報保護法】2022年4月施行 6つのポイント
次に、5つのポイントについて、個別におって解説します。
個人情報保護法 改正 背景
2022年の改正 個人情報保護法 の 背景は特段、何かがあったわけではなく、3年ごとの見直しに基づく改正とされています。
これは上述の「個人情報保護法 令和2年改正及び令和3年改正案について」でも、掲載されている事項です。
変わっている部分などを補足するように、改正の目的としては、
- 個人の権利利益の保護
- データ活用の強化
- 越境データの流通増大
- AI(人工知能)対応
- ビッグデータ対応
といったところが記載されています。
個人の権利を保護 GDPRに近づく
2022年版の改正個人情報保護法は、GDPRの基準に近づいたとされています。
これによって、Googleなどが発行する広告IDなどの識別子自体は個人情報として扱わない、ことになりました。
ただ、識別子は、他の情報と照合して、特定の個人を識別できると、個人情報になります。もちろん、識別子の暗号化などの仕組みがあれば、問題ありません。簡単には個人情報特定ができないからです。
また、消費者は
- 自分のデータの開示請求
- 提供データの利用停止や消去の請求
- 第三者提供記録の開示請求
がデジタル形式で行えるようになります。
そして、上記に対応できるよう、事業者は、個人個人のデータ開示における許諾ログの記録が必要となります。
短期保有データ(6か月以内に消去されるデータ)は、個人情報として扱われなかったのですが、改正個人情報保護法では、個人情報になります。
ただ、これ自体は、もともとプライバシーマークで規定されていた内容なので、プライバシーマークを取得して、規約を守っている場合は、改正個人情報保護法の影響はありません。
事業者の義務 追加
事業者側の義務としては、以下の2点が追加されています。
- 個人情報 漏えい時の報告義務
- 個人情報の不適切な利用禁止
個人情報の漏えい等の発生時には、個人情報保護委員会に対する報告義務が追加されています。さらに、個人情報の持ち主に通知する義務も課されます。
個人情報の不適切な利用禁止とは、違法、不当行為を助長、誘発するおそれのある方法に基づいて、個人情報を利用することを禁止しています。
要するに、個人情報の不正な取得などを促すようなスパイ活動などですね。
これは罰則対象です。
法令違反 ペナルティ 強化
個人情報保護法の法令違反における ペナルティ 強化 は、以下の2つです。
- 措置命令・報告義務違反の罰則
- 法人に対する罰金刑
法人に対する罰金刑は、一気に跳ね上がり、法人に対して1億円以下の罰金を科すようになり、高額な罰金刑制度を導入したのが、今回の改正個人情報保護法です。
データ 利用促進 匿名利用 加工利用
企業側に悪いことばかりに見えますが、今回の改正個人情報保護法で、緩和されたのは、個人情報をマーケティングに活用することができる部分、基準が明確になりました。
改正個人情報保護法では「仮名加工情報」という扱いが認可されています。
仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得た個人に関する情報を指しています。これは、改正個人情報保護法2条9項に定義が定められています。
これは、仮名加工情報にすることで、個人情報ではなく、あくまで統計データとして活用することを、国が容認したことになります。
ただし、以下の事項の同意取得、確認は必要です!
第三者提供 新規定 提供先で個人情報になる場合 同意取得が必要
個人情報のもととなる、データベース。これらを、取得事業者、提供事業者以外の第三者が個人データとして取得する場合、サービス提供元の事業者は、本人の同意をとる必要があります。
さらに、サービス提供元では個人情報でなくても、前述したように、個人情報と紐づけが簡単な場合、これは個人情報になるので、やはり、本人の同意が必要です。
これらが同意取得になります。
今後はこれらの同意取得が重要になってくるので、企業ごとに、しっかりと、消費者の同意取得をして、マーケティングを行う必要が出てきます。
個人識別できるように、直接ファーストパーティデータの取得、運用、開発をしていけるようにしていくことで、初めて、デジタルマーケティングの根本的な活動ができるようになるのです。
ちなみに、DMP(Data Management Platform) プラットフォームについても、結局は、この法令の中での範囲での活用になってきます。
Cookie利用 禁止ではない 個人情報保護法 改正
2022年施行版の改正個人情報保護法では、Cookie利用は禁止されていません。なぜなら、クッキーは、厳密には、個人情報ではないからです。
ただし、個人を特定できる形に加工できるのであれば、話は別です。
結果的に、Cookie利用は難しくなってきます。
パーソナルデータダッシュボード機能 が ビジネストレンドに
改正個人情報保護法によって、企業と消費者との情報のイマを伝えるツールは重要度があがってきます。
そういう意味では、マイページ内などで、ユーザーが、自分は何の情報を提供しているかをチェックすることのできるパーソナルデータのダッシュボード機能は重要になってきます。
もちろん、上場企業、大手企業が中心になると思いますが、マイページ内で、パーソナルデータ ダッシュボード 機能があれば、請求、開示、ログ化がわかりやすくなります。
となると、こういったサービスは、1つのビジネストレンドになりえます。
まとめ 2022年版 改正個人情報保護法 対策 は お早めに。
いかがでしたでしょうか、2022年版 改正個人情報保護法。
てんこ盛りではないですが、2022年版 改正個人情報保護法 は、いろいろな改正内容があるので、すぐには、対応できない!という企業も多いと思います。
そもそも論、プライバシーポリシーや利用規約などの文書を治したりする必要もありますし、データの開示などの明確性を保つことも重要になってきます。
ログをとれていない場合、どこからログをとるかも必要になります。
システムベンダーにとっては、1つのビジネスチャンスかもですが、リスクでもあります。社内教育も含めて、サービス提供事業者、SI企業などは、個人情報について、対応を早急にしないといけない状況になってくると思います。
【市場拡大中】ニュースレター 配信サービス「theLetter」(ザ レター)とは
法律関連の関連記事です!
【要注意】病院 クリニック 診療所 歯科医 向け 医療広告ガイドラインとは
https://saras-wati.net/web-make/about-medical-advertising-guidelines/