個人情報保護法改正により、個人情報や個人関連情報の取り扱いがより厳格化されました。
しかし実際のところ、何がどう変わるのか、2022年4月以降企業では何に注意すればよいのか。様々な情報が様々な企業や団体から公開されておりますが、まだ公式情報が少ないというのが所感です。
企業ではユーザーがウェブサイトにアクセスしたり、問い合わせフォームに問い合わせが入ったりしますが、それらの情報(いわゆる個人情報と言われている氏名や住所、電話番号、メールアドレス)以外のCookie情報やIPアドレスといった情報が個人情報にあたるのかは迷うところです。
改正個人情報保護法とは?
2022年4月施行された「個人情報の保護に関する法律等の一部を改正する法律」(2020年6月12日に公布)において、個人の権利利益の保護などを目的として、個人情報保護法が改正されました。
どこが変わったのか。。
ポイントとなる直接仕事に関係しそうなところだけ抜粋すると、
- 利用者(個人)の権利保護がより強化される
- 個人情報を取り扱う事業者側の責務が追加される
- データの利活用がしやすくなる
- 企業や個人に対して個人情報漏洩など法令違反に対する罰則やペナルティがより強化され厳格となる(法人に対して1億円以下の罰金等)
- 外国へ事業を展開する事業者に対する、報告徴収・立入検査などの罰則が追加される
- 個人関連情報を個人データとして取得する際に、本人に対して利用目的などを明示したうえで、利用についての同意を得ることが必要になる。
他にも細かい内容が書かれてありますが、この中で特に気になっているのは最後に挙げた
「個人関連情報」の取り扱いについてです。
個人情報は個人を識別できる情報ということですでに改正法が出される前から整理されており、氏名や住所、電話番号やメールアドレスなどを組み合わせることで個人が特定できる情報ということで整理はできているのですが、これまでグレーゾーンであったそれ以外の情報。つまり、Cookie情報やIPアドレスなど
それ単体のみで個人を特定する事まではできないであろうデータの取り扱いが迷うところでした。
これらの改正の発端はニュースでも大きな話題となった「リクナビ問題」です。
提供元であるリクルートキャリア社が、特定の個人を識別しないとする方式で内定辞退率を算出。
そのデータを提供先である利用企業に提供し、データを受け取った企業側では情報を紐づけることで特定の個人を識別できるという事実を知りながら、就活生からは第三者提供に係る同意を得ずに内定辞退率を企業側に提供していたことが問題となりました。
また、個人関連情報の取り扱いついて、個人情報保護委員会ではこう言及されています。
個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならないこととするもの。
個人関連情報とは?
では、そもそも個人関連情報はどのように定義されているのか調べてみました。
令和3年4月7日に行政機関である個人情報保護委員会(※)から公開された資料(「改正法に関連するガイドライン等の整備に向けた論点について(個人関連情報)」)によれば、
「個人関連情報」とは
「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」を指すようです。
微妙。。。
個人関連情報の例として同委員会が挙げている内容としては
氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報 等
とありました。
ウェブ上の様々な見解を収集すると、IPアドレスもこの「個人関連情報」に含まれるとする情報が多いようです。位置情報に近いかもしれません。
https://www.ppc.go.jp/個人情報保護委員会は、日本の行政機関のひとつ。個人情報の有用性に配慮しつつ個人の権利利益を保護するために個人情報の適正な取扱いの確保を図ることを任務とする内閣府の外局である。 内閣総理大臣の所轄に属する行政委員会で、個人情報の保護に関する法律に基づき2016年1月1日に設置された。
改正法における個人関連情報の第三者提供規制の概要
個人情報保護委員会(※)から公開されている資料によると、本改正で意図する内容として以下のような個人関連情報提供元と提供先でのデータ提供及び加工による事例が紹介されていました。
まさにリクナビ事件の構図と同じで、提供元と提供先がそれぞれ持つ情報をあわせることで個人が特定されるという事例です。
しかし、第三者となる別の企業に提供するわけではなく、自社内で利用するという場合もそれらの個人関連情報の取り扱いには留意しないといけないのでしょうか。
この改正の中には「個人関連情報」の「取得方法」についても細かく言及されており、そこから判断されるに、取得した情報の用途は当然ながら、「取得の仕方」自体にも留意しなければならないと捉えました。
情報の取得の仕方がポイントになりそう
個人情報保護委員会の見解としては、本条項の趣旨は
改正法において新たな規律を設けた趣旨は、個人関連情報の提供先である第三者により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止することにある。
という制度趣旨も踏まえ、以下の事項を検討する必要があるという見解でした。
• 本人からの同意取得の態様・方法について
• 「個人データとして取得することが想定されるとき」の語義について
• 個人関連情報における確認記録義務について
この中でポイントとなるのが
「本人からの同意取得の態様・方法」に関しては、同意の取得の具体的な方法について、例示をガイドラインで示すこととしたところ、以下のような点を更に検討する必要がある。
① 本人からの同意取得の主体について本人同意を提供元・提供先のどちらが取得するか
② 本人からの同意の確認方法について本人同意を取得した後、提供元が具体的にどのような方法で本人同意を確認するか
利用主体者と用途を明示した上で本人から同意を得る
個人情報に関しても、情報の用途を事前に明示した上で同意を取得することが個人情報法には定められているが、個人関連情報に関しても同様の考えが適用されるようである。「誰が」「何を」「どのように利用するか」を抑える必要がある。
つまり、
• 「誰が」
個人関連情報を個人データとして取得して利用する主体
• 「何を」
対象となる個人関連情報
• 「どのように利用するか」
利用の目的や用途
特に、本人が個人関連情報を利用する主体を認識するのは困難であるが、提供先により、本人を識別した上で情報を利用されることによる個人の権利利益の侵害を防止するという改正法第26条の2の趣旨からすれば、本人が個人関連情報を個人データとして取得して利用する主体を認識できるようにすることは重要である。
というのが個人情報保護委員会の見解でした。
本人からの同意の確認方法については?
同意取得の方法についてはこのように整理されています。
【提供先が同意取得する場合の提供元による確認の方法の具体例】
提供先の第三者から口頭で申告を受ける方法
提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる方法
【提供元が同意取得を代行する場合の確認の方法の具体例】
提供元において同意取得を代行して同意を自ら確認する方法(「その他の適切な方法」
(改正後の規則第18条の2第1項)に該当
とのことのようでした。
どうやって同意を取得するのか?方法は?
企業では問い合わせフォームで個人情報や個人関連情報を取得する場合が多いと思います。
その際に良く用いられる手法として一般的なのが
「同意ボタン」(チェックボタン)
です。入力フォームの最下部(送信ボタンの上あたり)に以下のような決められた内容を記した上で、同意して送信ボタンを押してもらうという手法です。
チェックボックスにチェック(同意)をしないと送信ボタンが押せないという仕様とすることで必須を担保するというやり方が主流です。
あくまでも本人の意思によりチェックを入れる形式が良く、
個人情報保護委員会ホームページのQA履歴を見ると、
最初からチェックボックスがオンになっている、いわゆるオプトイン方式では本人の同意を得ていないと見做される場合があると注意喚起をしていました。
結論から言うと、今後は企業ホームページやキャンペーンサイトに関しては、お問合せフォームに「同意ボタン」(チェックボックスを本人が入れる方式で)、個人情報及び個人関連情報取得の同意を得る事が必須になるのではないでしょうか。
また、個人情報の取扱について、企業側は利用者に対して以下の8つの事項を明示しなければなりません。
1.事業者の名称
2.当社の個人情報管理者
3.連絡先
4.利用目的
5.第三者提供
└第三者提供の目的
└提供する個人情報の項目
└提供の手段、方法
└第三者の名称
└第三者との契約条件
6.委託
7.提供の任意性とその結果
8.個人情報を開示する具体的な方法
そう考えると、個人情報の同意を得る仕組みを「同意ボタン」の手法以外で対応するのは企業として非常に困難である考えざるを得ません。
よりリスクヘッジするとすれば、問い合わせフォーム内の送信ボタンの下に「送信ボタンを押すことは、個人情報の取扱いについてに同意したとみなします」の文言を入れる。
という方法もあるようです。
このあたりは今後改正法の整備につれ、解釈や定義も明らかになっていくことでしょう。
ただし罰則の強化などの背景を鑑みると、各企業においては「だろう判断」をすることなく慎重に対応を進めていくことが重要だあるといえそうです。
以下のフォーム作成ツールはそういった個人情報保護関連の対応やセキュリティ部分を強化したフォームを簡単に作成、管理できるツールとして多くの企業が導入しているようです。
自社で1から個人情報保護やセキュリティ対応したフォームをスクラッチで製作するのは容易ではありませんよね。
無料プランもあるようですので一度導入を検討されてみても良いかもしれません。