2022年施行の改正個人情報保護法。企業が取るべき対応とは？

2020年6月に成立した改正個人情報保護法。昨今の個人情報に対する世間的な意識の高まりを受けて、個人情報に対する権利や企業が守るべき責務のあり方が見直されています。

この改正において、企業はどのような影響を受け、具体的にどのような対応が迫られるのでしょうか。本記事では、改正個人情報保護法のポイントや改正に至る背景などを解説し、改正にあたり企業が取り組むべき具体的な施策について紹介します。

なお、現行の個人情報保護法（2021年2月時点）の基本や目的、制定に至る背景ついては「今さら聞けない個人情報保護法の基本」で詳しく解説しています。あわせてご覧ください。

企業のデータ活用を促進する「仮名加工情報」の制度

今回の改正のポイントの1つが、「仮名加工情報」の制度の導入です。仮名加工情報とは、企業が保有する個人情報のうちから氏名などを削除し、個人を識別できないようにした情報のことです。今回の改正では、仮名加工情報が個人からの開示・利用停止請求の対象外となります。

現行法では、仮名化された個人情報も、通常の個人情報と同様の取り扱い上の義務が課されています。しかし、それでは購買情報や顧客データの利活用が進まず、企業においてイノベーションが起きにくいという側面があり、利用目的を特定・公表したうえで、「再識別をしない」「社内での分析に限る」ことを条件に、取り扱い上の義務が緩和されることとなりました。この規制緩和により、例えば、小売業の企業が顧客の購買データなどを収集・分析し、商品開発や店舗設計の参考にするといった取り組みが加速するとみられ、企業の競争力強化につながると期待されています。

改正法で拡充される個人の「利用停止権」

今回の改正は「技術革新を踏まえた（個人情報の）保護と利活用のバランス」が念頭に置かれています。そのため、企業のデータ利活用に関する規制緩和が行われる一方で、プライバシー保護など個人の権利も強化されます。

その1つが、利用停止権の拡充です。利用停止権は現行法にも明記されている権利で（※1）、企業が法律の規定に違反して個人情報を取得したり、取り扱ったりした際に、個人がその利用の停止（または削除）を請求できる権利です。改正法では、権利の範囲が拡充され、企業が規定に違反した場合だけでなく、「個人の権利又は正当な利益が害されるおそれのある場合」（※2）にも、利用停止請求が可能になります。これにより、例えば、顧客から「サービスを退会したので、個人情報を削除してほしい」と請求された場合、企業はその求めに応じる必要があるとされています（※3）。

なお、『改正個人情報保護法で強化される個人の権利とは』では、「個人の権利」にスポットをあて、今回の改正が私たち一人ひとりの権利のあり方をどのように変えるのか、詳しく解説しています。

Cookie（クッキー）データの活用にも規制強化

また、今回の改正では、企業間におけるデータの提供についても見直しがされています。提供元企業では個人情報に該当しないデータであっても、提供先企業で個人情報となり得ると想定される場合、データの提供について個人の同意を得ることが義務付けられます。

この改正の対象となるのが、「Cookie（クッキー）」の取り扱いです。Cookieは特定のウェブサイト閲覧履歴などを記録する仕組みで、多くの企業がデジタルマーケティングの施策等に活用しています。Cookieで得られるデータは、現行法の範囲では個人情報に該当しません（※4）。しかし、そのデータを照合し、個人を特定することも可能であることから、近年、保護強化の声が高まっていました。そこで、今回の改正により、Cookieで得られた情報についても、慎重な取り扱いが求められるようになりました。改正法では、企業はCookieで得られるデータと個人情報との照合について、顧客から同意を得る必要があります。

おすすめ記事：日本企業も他人事ではない！？GDPRの影響とその対策

2022年の施行に向けて、企業は早期の対策を

そのほか今回の改正では、企業が個人情報の漏えい時などに、当局（個人情報保護委員会）への届出と個人への通知を行う義務が追加されたほか、法律の罰則強化も行われます。改正のポイントは広範にわたるため、数多くの企業が改正法への対応を迫られると予想されます。例えば、利用停止権の拡充については、社内規定やプライバシーポリシーを検討し、自社の個人情報の利用停止の条件が、改正法に適しているかの確認が必要です。また、個人情報の漏えい時などには、当局への届出義務や個人への通知義務が生じることから、その対応策を事前にまとめておくことも重要です。

ほかにも、個人情報の取り扱いフローや運用方法の変更、契約書などの改訂、従業員への教育といった対応が求められる可能性もあります（※5）。企業は、今後整備される関連規則やガイドラインを注視し、自社に適切な対応策を実施する必要があるでしょう。

改正法の全面施行は、2022年春ごろに予定されています。特に、プライバシーポリシーへの同意は、個人情報保護法を遵守する上で重要なポイントです。改正法への対応を進めるなかで、同意を得る方法についても改めて見直したいところです。

DocuSign Click は、プライバシーポリシーや個人情報取得についての同意・合意をワンクリックで取得できるクリックラップ契約ソリューションで、多くのウェブサイトやアプリで利用されています。導入・保守が簡単で、監査証跡によりコンプライアンスを遵守し、クリックラップ契約の情報を一元管理することができます。現行法において、個人情報を第三者に提供するには個人からの同意が必要(※6)であるため、同意・合意の日付や時刻、IPアドレスといった監査証跡は「同意を得ている旨」の証拠とできることから、法的リスクを低減するうえで非常に有効です(※7)。

DocuSign Click に関する詳細は「DocuSign Click - 1回のクリックで申込書や合意書の同意・合意を取得」のブログ記事をご覧いただくか、弊社営業担当までお問い合わせください。

ドキュサインへのお問い合わせは →

_{参考資料：}

• _{※1 個人情報の保護に関する法律 第30条（利用停止等）}
• _{※2 個人情報保護委員会 個人情報の保護に関する法律等の一部を改正する法律（概要）}
• _{※3 日本経済新聞 2020年8月8日 企業が抱える個人データ 保護を厳格に}
• _{※4 日本経済新聞 2019年11月27日 Cookie情報での個人特定防止へ 利用者同意義務付け}
• _{※5 改正個人情報保護法のポイントと実務への影響}
• _{※6 個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）}
• _{※7 個人情報保護委員会 FAQ3-2 確認義務、記録義務 Ｑ10-33}

_{免責事項：本サイトの情報は一般的な情報提供のみを目的としており、法的助言を提供することを意図したものではありません。法的な助言又は代理については、適切な資格を有する法律家にご相談ください。ごく短期間に法改正が行われる場合もあることから、弊社はこのサイトの全ての情報が最新のものである又は正確であることを保証することはできません。適用法の許容する範囲において、弊社又は弊社の代理人、役員、従業員若しくは関係会社のいずれも、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害又は結果的損害（代替商品若しくは代替サービスの調達、使用不能若しくは逸失利益又は事業の中断を含みます。）について、かかる損害が生じる可能性について通知を受けた場合であっても、本情報を使用したこと又は使用できなかったことにより生じる契約責任、厳格責任又は不法行為による責任のいずれの責任法理によっても、かかる損害を補償する義務を負いません。}