Cookie情報の取り扱いにも非常に関連性の高い個人情報保護法ですが、2017年に改正されました。
そして、3年毎の見直しの規定により、次は2020年に改正が検討されています。2019年4月には、「個人情報保護法 いわゆる3年毎の見直しに係る検討の中間整理」が公表されました。今回はその内容を中心に、個人情報保護法の行方について見ていきたいと思います。
2017年に個人情報保護法が改正された背景
2017年に改正された現行の個人情報保護法への改正のポイントは、いわゆる5000件要件が撤廃され、個人情報1件から個人情報保護法が適用されることで、個人情報保護法のカバーする範囲が広くなったところです。
また、デジタルテクノロジーの急激な進歩により、実態に合わせた法整備を目的に、3年ごとの見直しを行うことが規定に盛り込まれたことも大きな特徴です。
そして、2017年から3年後となる2020年に再度改正されることが予定されています。
個人情報保護法は、テクノロジーの外部要因の影響を受けることも必至ですが、諸外国の法整備の影響も受けやすい法律と言えます。
その中で大きく影響を受けそうなのが、EEA(欧州経済領域 European Economic Area)で施行されたGDPRや、アメリカのカリフォルニア州で2020年1月に施行予定の消費者プライバシー法(CCPA)が挙げられます。
このようなGDPRやCCPAの影響を受け、ブラジルやタイなどもよりデータ保護に関する法律の施行を進めています。
総論から見る4つの改正のポイント
「個人情報保護法 いわゆる3年毎の見直しに係る検討の中間整理」の冒頭部分を参照してみると、下記のような指針が示されています。
第一に、情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており、個人情報保護法第1条の目的に掲げている「個人の権利利益を保 護」するために必要十分な措置を整備することに配意しながら制度を見直すことが必要である。
第二に、平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、 経済成長等と個人の権利利益の保護との両面で行き渡るような制度であることが必要である。
第三に、デジタル化された個人情報を用いる多様な利活用が、グローバルに、展開 されており、国際的な制度調和や連携に配意しながら制度を見直すことが必要である。
第四に、海外事業者によるサービスの利用や、個人情報を扱うビジネスの国境を越 えたサプライチェーンの複雑化などが進み、個人が直面するリスクも変化しており、 これに対応し得る制度へと見直すことが必要である。
※「個人情報保護法 いわゆる3年毎の見直しに係る検討の中間整理」第1章より
この指針は、大きく2つのポイントに集約されるのではないでしょうか。
個人情報の権利と利活用による経済への恩恵のバランス
世間の個人情報の取り扱いに関する関心は高まっており、大きな不安を感じる方もいらっしゃいます。2018年4月〜12月までの9ヶ月間で、個人情報に関する相談窓口である「個人情報保護相談ダイヤル」の受付数は、1万件を超えており、うち2割が苦情であるという報告もなされています。
一方で、ビジネスの面では、情報銀行の認定など情報を利益の源泉とするビジネスの構想も進んでいます。2つの観点でどのように個人情報を保護していくのかは、私達の未来において非常に重要なポイントとも言えます。
ビジネスのグローバル化とそれに応じた法整備
もう一つの観点は、私達が普段使用しているGAFAのようなサービスも海外の企業が展開するサービスです。私達の情報は、海を超え、利活用されているのが実態です。
GDPRでもEEA域外へのデータ持ち出しに関する規制も盛り込まれており、そのような資産となりうる情報をどのように保護するのか、敷いては日本に住む個人をリスクからどのように保護するのかという点が重要なポイントとなっています。
中間整理で議論された3つのポイント
前述した2つのポイントを中心に様々な具体的制度の検討が進んでいます。
今回は、その中でも企業の個人情報への向き合い方が大きく変わりそうな3つ(漏えい報告のあり方、データ利活用に関する施策のあり方、ペナルティのあり方)を取り上げます。
漏えい報告のあり方
個人情報取扱事業者は、漏えい等の自演が発覚した際には、その事実関係及び再発防止策等について、委員会に速やかに報告するように努めることが規定に盛り込まれています。しかし、裏を返せば、現状では漏えい報告は法令上の義務ではないのも事実です。
委員会の考えは、漏えいの実態の把握できていないことも問題だとしながらも、漏えい報告の義務がないゆえに企業の再発防止策が十分ではない場合があるのではないかという懸念を表明しています。
また、諸外国の法令では、漏えい報告は義務化されている潮流もあり、漏えい報告を一定の場合では、義務化することを検討する必要があると述べています。
中間整理からは、企業は、漏えいを防ぐことだけでなく、万が一発生した際には原因を究明し、再発防止を取ることが求められる可能性があること想定されます。
データ利活用に関する施策のあり方
2017年の法改正時に、事業者間のデータ取引やデータ連携を含むパーソナルデータの利活用を推進することを目的に、匿名加工情報制度が導入され、現在では個人を認識できないように加工した個人情報が活用されています。
しかし、GDPRでは「匿名化」という手法だけでなく、「仮名化」というデータの一部を置きかけることでデータの主体を特定できないようにする仕組みを活用しています。
匿名加工情報ほどの手間を掛けずに利活用することが出来る為、経済界からの要望の声も上がり、中間整理では議論がなされました。
また、ターゲティング広告は、知らないうちに個人のデータが収集され、プロファイリングが行われている危険性があり、特定の個人を識別できる個人情報と同様の情報量を持ちうる可能性が示唆されました。
さらに、cookie情報等についても一定の条件に該当する場合は、個人情報保護法上の個人惜別符号であるという可能性や、今後その位置づけを明確化することを検討していくという文言も盛り込まれています。
ペナルティのあり方
現状では、命令違反に対して、【6ヶ月以下の懲役又は30万円以下の罰金】、不正提供罪に対して、【1年以下の懲役又は50万円以下の罰金】と諸外国に比べて、日本の制裁リスクは非常に軽微なものと言えます。
一方で、GDPRでは最大約23億円(2000万ユーロ)、又は全世界年間売上高の4%と経営へのインパクトは非常に大きなものです。
実際に、大手航空会社やホテル会社が情報漏えいの問題で、100億円を超える制裁金を受けた事案をご存知の方も多いのではないでしょうか。
ペナルティの引き上げがセキュリティの強化に繋がる可能性を示唆しながらも、過度のペナルティの強化は、事業者の萎縮を招く可能性も議論されています。
このような観点から、GDPR等と同等の過度なペナルティの導入は見送られる可能性もありますが、現状以上のペナルティが導入されることを想定して、事業者は準備をする必要性があると思います。
まとめ
新法の制定へ向けて、年明けにも通常国会への提出が予定されています。
企業のデジタルマーケティング、デジタル戦略に大きな影響をもたらしかねない事案ですので、今後も注目していかなければならないでしょう。
【執筆】奥村高大 (おくむら たかひろ)
同志社大学卒業後、銀行に就職。その後、企業の経営課題解決を目的とするフリーランスのシェアリングサービスに従事し、2018年にエルテスに入社。事業推進Grにて、マーケティング業務を中心に、デジタルリスクラボの立ち上げ、運営、執筆を行う。
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。
