お知らせ: 酷似サイトにご注意ください

レポート

改正個人情報保護法遵守のために企業がすぐに行うべき対応とは？

掲載日 2022/02/08 14:32

著者：今林敏子

情報漏えい

目次

個人データの越境移転が認められる条件は？
「基準適合体制の整備」に関する改正への対応
個人関連情報への対応も必要

目次を開く

インターネットイニシアティブ（IIJ）は2月2日、オンラインセミナー「DXを加速させるプライバシー保護規制対応の最前線」を開催し、企業がプライバシー保護に関する法規制を遵守するために必要な対策について解説を行った。日本では、今年4月1日に改正個人情報保護法が施行されることになっており、これまで以上にプライバシー保護に対する注目が高まっている。

本稿では、IIJ ビジネスリスクコンサルティング本部副本部長の鎌田博貴氏による講演「2022年、グローバル企業のプライバシー担当者が取り組むべき課題のまとめ～欧州、アジア、日本」というテーマの下で行った講演のポイント」から、改正個人情報保護法に遵守する形でデータを越境移転するために、どのような対策を講じるべきかについて紹介する。

個人データの越境移転が認められる条件は？

日本の個人情報保護法では、第24条において、外国にある第三者への個人データの提供（越境移転）について言及している。鎌田氏は、越境移転が許される条件は大きく「本人の同意がある場合」「日本と同等の保護水準の外国」「基準適合体制を整備している場合」「23条（1）の例外4条件に該当している場合」の4つのケースがあると述べた。

これら4つのケースののうち、「本人の同意」と「基準適合体制の整備」について、改正が行われる。「本人の同意」においては、事前に一定の情提供義務が生じ、「基準適合体制の整備」による場合は、保護措置の定期的確認義務と本人の求めに応じて、一定の情報提供義務が生じる。

鎌田氏は、「これらの変更は本人への情報提供に影響が生じることから、企業のWebサイトに掲載しているプライバシー規程にも関わってくる」と指摘した。

個人情報保護法における外国にある第三者への個人データの提供に関する規制

「基準適合体制の整備」に関する改正への対応

鎌田氏は「Webサイトに掲示しているプライバシー規程は、顧客の目に触れる場所なので、早急な対応が必要」として、日本に本社がある企業がブラジルの企業と顧客連絡先を共同利用することに対し、本人の同意を得る際に情報提供するためのテンプレートを紹介した。

具体的には、第三者に当たる提供先、提供先の所在国、所在国の規制、提供先の措置を示す必要がある。所在国の規制については、GDPR（EU一般データ保護規則）の十分性認定の有無などを記す。提供先の措置としては、OECDプライバシーガイドラインへの対応の有無などを示すとよいという。

本人の同意による外国第三者提供の場合の情報提供例

また、基準適合体制の整備に基づき、外国第三者提供を行う際は、「相当措置を継続するために必要な措置をとること」「本人の求めに応じて必要な措置に関する情報の提供」が必要となる。

必要な措置には、「契約に基づく保護措置を年に1回以上確認する」「保護措置の影響に及ぼす提供先国制度の内容を年に1回以上確認する」といったことが相当する。

鎌田氏は「契約やポリシーの中に、必要な措置が含まれているかどうかを確認する必要がある。現時点で必要な措置が含まれていなければ、追加しなければいけない。また、本人の求めがあったら、基準適合体制についての情報を提供できなければいけない。これは、優先度の高い仕事だと思う」と語った。

基準適合体制の整備による外国第三者提供において求めれられる対応

基準適合体制の整備による外国第三者提供において、本人の求めに応じて提供すべき情報

個人関連情報への対応も必要

続いて、鎌田氏は個人関連情報への対応について説明した。個人関連情報とは、誰であるかはわからないが、ある個人に関数情報のことをいう。個人情報保護法では、「生存する個人に関する情報であり、個人情報、仮名加工情報および匿名加工情報に該当しない情報」と定義されている。

個人関連情報とは

個人関連情報の中でも特に注目されているのがCookieを通じて収集された、ある個人のWebサイトの閲覧履歴だ。デジタルマーケティング、ログ解析、オンライン広告など、さまざまなデジタルツールでCookieは活用されている。

個人関連情報は特定の個人にひもづけられる場合、個人情報と見なされることになり、本人からの同意取得が必要になる。例えば、DMPなどのサードパーティのデータを購入して、自社のデータと結合して、個人が特定可能できると個人データとなり、本人同意が必要という話になる。

自社のデータとサードパーティのデータを活用して顧客プロファイリングを行って、個人関連情報が個人を特定できるようになると、個人データになってしまう

そこで、個人データと統合する目的利用されるCookieに関しては、オプトインのための明示的に同意をとる仕組みを、Webサイトに設けることで、改正個人情報保護法の遵守につながる。鎌田氏は、こうしたCookie利用の同意取得についても、「かなり緊急の対応が必要になる」と述べていた。

WebサイトにおけるCookie利用に関する同意取得の実装例

AIが勧める、あなたのための会員限定記事

転職ノウハウ

もっと見る

アクセスランキング

ランキングをもっと見る

もっと見る

編集部が選ぶ関連記事

情報漏えい

関連リンク

IIJ

※本記事は掲載時点の情報であり、最新のものとは異なる場合があります。予めご了承ください。

新着記事

こちらも注目

このカテゴリーについて

サーバやストレージといった基本的な話題から、仮想化技術やクラウド、ビッグデータ、業務アプリケーションといった企業向けITの最新情報を紹介します。