「改正個人情報保護法」のポイントと必要なWeb対策をわかりやすく解説 - 阪急阪神マーケティングソリューションズ

hhms: 阪急阪神マーケティングソリューションズ株式会社 logo main

「改正個人情報保護法」のポイントと
必要なWeb対策をわかりやすく解説
2022.08.02

「改正個人情報保護法」のポイントと必要なWeb対策をわかりやすく解説

現在、世界各国で進んでいるプライバシー保護関連の法整備・改正。海外ではすでにCookieデータは重要な個人情報に該当する場合もあり、Cookieの利用を規制する動きも活発化するなか、日本でも2022年4月に改正個人情報保護法が施行されました。こちらでは改正個人情報保護法のポイントと必要なWeb対策についてまとめています。

「2022年4月に施行!改正個人情報保護法」
資料ダウンロードはこちら

2022年4月に改正された
「改正個人情報保護法」施行の背景

なぜ改正されたのでしょうか?
2003年(平成15年)に成立した個人情報保護法は、2015年(平成27年)に一度目の改正が成立し、2017年5月に施行されました。技術的な変化、海外法規制との整合など、世の中の動きに追従していくために3年ごとに見直しをかけられることになっています。2020年6月に可決した改正個人情報保護法は、3年ごとの見直しの一回目であり、二度目の改正になります。

海外の規制(GDPRやCCPAなど)との関連性は?
Cookie(クッキー)が個人情報に該当するかは、法域により異なりますが、海外ではすでに個人情報に該当するとしている場合もあります。欧州ではeプライバシー指令とGDPRによる規制が行われており、包括的な情報提供と事前のオプトイン同意(ゼロ・Cookieロード)の実装が必要です。アメリカにおいては、カリフォルニア州消費者プライバシー法(CCPA)が施行されおり、識別子、閲覧情報を広告目的で第三者提供する場合、オプトアウトを提供する義務があります。またターゲティング広告についてオプトアウト画面(13歳~15歳の子どもに関してはオプトイン画面)をCCPA法及び規則通りに適切に設置していないことに対して多くの執行事例が出ています。このように、海外においては、以前から個人情報の保護を目的に、Cookieの利用を規制する動きが活発化しています。日本はまだまだ遅れているといえますが、今後は各国に追随するため、様々な規則作りが進められています。

「改正個人情報保護法」で
企業が注視すべきポイントとは?

プライバシー保護規制の強化は通商交渉上の武器となるため、GDPRから連鎖的に世界各国に広がっています。日本もその影響を受け、個人情報保護法も従来よりも個人の権利を拡張し、企業の責任を問う形に変化しています。この流れは今後も止まらないと思われますので、注視する必要があります。

「改正個人情報保護法」のポイント ①
平成27年改正法からの変更点で、企業に大きな影響を与えるのは主に下記の5点です。
1 企業の罰金が50万円から1億円に引き上げられた
2 個人データ漏洩を個人情報保護委員会などに通知することが義務となった
3 個人データの漏洩や不適切な利用があると、個人が利用停止・消去権を行使できるようになった
4 Cookieなどに関わる規制が一部盛り込まれた(個人関連情報第三者提供制限)
5 個人データの海外移転における企業の情報提供義務、相当措置義務を強化

「改正個人情報保護法」のポイント ②
「個人関連情報(新概念)の第三者提供」について新たに規制されています。これまでになかった新たな概念であるため、該当する事業を行っている企業はWebサイトへ「Cookie同意管理バナー」の導入を行うことが有効策となります。

「個人関連情報(新概念)の第三者提供」とは?

「個人関連情報(新概念)の第三者提供」とは?

※「改正法に関するガイドライン等の整備に向けた論点(個人関連情報)」
https://www.ppc.go.jp/files/pdf/201120_shiryou-1.pdf

個人関連情報(個人識別できない情報、たとえば端末を識別するにとどまるCookieで取得した情報)を体系的に構成して事業の用に供する事業者が個人関連情報を個人データとして取得することが想定される第三者に提供する場合、あらかじめ本人の同意が得られていることを確認する義務があります。原則は、提供先(個人関連情報を個人データとして取得することが想定される第三者)が同意の取得を行う。ただし、提供元による同意取得代行も認められます。例えば、取得元で「個人データ(個人情報データベース等を構成する個人情報)」に該当しないCookie情報を、第三者に提供することで他の情報と照合し、個人データとなる場合、あらかじめ本人の同意を取得する必要があります。このような情報の結合は提供元から発行されるCookieにより行われる事が多いため、Cookieの制御が有効策の一つとなります。

よくある質問と回答

Q. 「オプトイン同意」 「オプトアウト同意」とはどういう意味ですか?
A. さまざまなビジネス領域で慣例的に利用されていますが、改正個人情報保護法の施行に伴うCookie同意管理バナー導入においても身近な用語です。本ページやダウンロード資料では以下の意味で用いています。
オプトイン同意とは「なにもしなければ非同意」となります。同意する際には明確な同意アクションが必要であるため、ユーザーの同意の意思を反映できます。
オプトアウト同意とは「なにもしなければと同意」となります。非同意としたい場合は何らかのアクションが必要であるため、同意を無意識に行ったのか、意思を持って行ったのか不明です。

Q. 「オプトイン同意」 「オプトアウト同意」とはどういう意味ですか?

Q.「Cookie」とは何ですか?
A. Webサイトにおける個別番号のようなものです。サイトにアクセスした際に、WebサーバーからブラウザにCookieが送られ、保存されます。Cookieはブラウザで読み書きできるテキストファイルです。Webサイトは、初訪問の利用者に唯一識別番号を渡すことで、ウェブサイトはブラウザを一意識別できます。次回同じサイトにアクセスした際も、ブラウザ上のCookieがサーバーに送られるので、同じユーザーであることがわかります。

Q.「Cookie」とは何ですか?

Webサイト上でどのような対策が必要となっているか?

すでに施行されている海外の規制(GDPRやCCPAなど)や「改正個人情報保護法」の施行に伴い、適切な同意取得を行わずにCookie情報を取得していると、罰則の対象となるケースがあります。対象となる企業においてはWebサイトへ「Cookie同意管理バナー」の導入を行うことが有効策となります。このたび下記がまとめてわかる資料を作成いたしましたので、ぜひダウンロードしてご確認ください。

1 Cookie規制に関する世界・日本の動き
2 改正個人情報保護法のポイントまとめ
3 Cookieの基礎知識
4 どのようなWebサイトが規制対象になるのか
5 具体的な対策方法
6 規制対象チェックシート

当社では、Cookie同意管理バナー導入のご支援を行っております。GDPRやCCPA等におけるプライバシー保護の豊富な経験と実績を保有する株式会社インターネットイニシアティブ(IIJ)との密接な連携・協業により、お客様のWebサイトの現状調査・導入コンサルティングからCookie同意管理ツール「OneTrust(ワントラスト)」のWebサイトへの実装までワンストップで支援いたします。対応が必要かどうかわからなくてもご安心ください。当社にて確認をいたしますので、お気軽にご相談ください。導入事例のご紹介も可能です。

Cookie同意管理ツール「OneTrust(ワントラスト)」とは
「OneTrust」は、世界各国100以上の国にわたり、7,500社の企業への導入実績を持ち、自社サイトへのCookie同意管理バナー実装を簡便に実現するプライバシー管理クラウドサービスです。Cookieの自動検知や分類、Cookie同意管理バナーの作成やカスタマイズはもちろん、ひとつのスクリプトのみでユーザーの言語設定を自動検知各国規制にも簡単に対応できます。

Cookie同意管理ツール「OneTrust(ワントラスト)」とは