2022年4月改正「個人情報保護法」をマーケティング目線でポイント解説

2022年4月に個人情報保護法が改正されました。

Webマーケティングを行っている方への影響も大きく、「プライバシーポリシー」や「個人情報の取扱い」について整理・改定する必要があります。法人への一部罰則が「1億円以下の罰金」と引き上げられたため、できるだけ早めに対応しておきたいところです。

こうした法改正の動きもあることから「個人情報を意識するユーザーが増えてきた」と感じる方も多いのではないでしょうか。罰則の重さにかかわらず、個人情報をきちんと取り扱うことは企業の信頼に直結します。

そこで本記事では、2022年4月に改正された個人情報保護法のうち、マーケティングに影響がありそうな箇所を5つピックアップしてご紹介します。

なお本記事はマーケティング観点でのポイント解説を目的にしています。詳細の理解や実際の対応については顧問弁護士の方などにご相談ください。

それでは上記を踏まえて5つのポイントを見ていきましょう。

1. 個人の権利の在り方

実はこれまで、事業者に渡した個人データの利用を止めるには、法律に違反しているときしか請求できませんでした。

2022年4月の改正で、法律違反をしていなくても、本人の権利や利益に害が発生するおそれがあるときは、個人データの利用を止めるように請求できます。

また、事業者が保有している個人データに開示請求を行ったときの手続きにも変更がありました。

これまで、個人データの開示請求には原則「書面」で開示することになっていました。改正後は、電子的記録（メールやPDF）でも開示できるようになります。どんな方法で開示するかは、請求する本人が指定できます。

今後は、保有している個人データの開示・利用停止などの機会が増えることが予想されますね。

2. 事業者の守るべき責務の在り方

個人データを取り扱う事業者がやらなければならないことが増えました。

まずは、個人データが漏洩してしまった場合の対処法についてご説明します。改正前は個人データが漏洩したとき、個人情報保護委員会に報告する法的な義務はありませんでした（努力義務）。

改正後はこれを法的義務化。個人データが漏洩したときは、個人情報保護委員会に報告する義務が発生します（一部例外あり）。

また、プライバシーポリシーなどに公表しなければならない事項が追加されました。以下の4項目です。

・事業者の代表者名、住所
・利用目的
・安全管理措置の内容
・外国での個人情報の取扱いの委託先

「利用目的」についてはユーザーが「自分の個人データをどのように使われるか」をある程度想定できるように書くこととなりました。

改正前は「〜〜のために利用します」のような表記でもOKでしたが、改正後は「取得した閲覧履歴の情報を分析し、興味・関心に応じたサービスの広告を配信するために利用します」などと明確に書く必要があります。

また「安全管理措置の内容」の記載について、ガイドラインに変更がありました。大きな変更が「外的環境の把握」という項目の追加です。

「外的環境の把握」とは、個人データを外国で取り扱うとき、外国の個人情報保護のルール等を把握したうえで、個人データを安全に管理するために必要な措置を講じる……というものです。

困るのは「外国のクラウドサーバーに個人データを保存している」場合です。クラウドサービスの事業者がある国名と、サーバーが設置されている国命を公表しなければなりません。

クラウドサービスの事業者の国名は調べれば分かるかと思いますが、サーバーがどこにあるかは聞いてみないと分かりません。実際にアクションを起こす必要がありますのでご注意ください。

なお、ここでいう「公表」は、プライバシーポリシーやホームページ等に明記する方法だけでなく、ユーザーから問い合わせがあった際に迅速に回答することでもOKです。

3. データ利活用に関する施策の在り方

Cookieに深く関係する部分です。Cookieへの影響を正しく理解していただくために、前段の説明をいたします。

今回の改正によって「個人データには該当しないものの、第三者に提供すると個人を特定される可能性のあるデータ」については、本人の同意がなければ第三者に提供できないことになりました。

例えば、株式会社Aが顧客IDごとに購入履歴が記されたリストを保有していたとします。

これは単なるID（数字）と購入履歴のみですので、個人は特定できません。改正前はこのような情報を第三者に提供するときに制限がありませんでした。

しかし今回の改正によって以下のようなケースは本人の同意がない限りNGとなっています。

————————————————————
株式会社Aは業務提携している株式会社Bに先ほどの顧客IDごとに購入履歴が記されたリストを提供しようとしています。

株式会社AとBは同じ顧客IDを共有しており、株式会社Bが持っている「顧客IDごとに氏名・住所が記されたリスト」と、株式会社Aから提供された「顧客IDごとに購入履歴が記されたリスト」を照合することで、個人の購入履歴を特定できます。
————————————————————

これでは株式会社Aから株式会社Bに個人データを共有していることと変わらないため、同意を取る必要が出てきたというわけです。

2019年、リクナビが「就活生の内定辞退率」を本人の同意なく、第三者（リクナビを利用する企業＝就活生が面接を受けた企業）に提供していた問題を覚えておりますでしょうか。

あれはまさにこの仕組みで発生していました。

リクナビは「就活生の内定辞退率」というデータを持っています。このデータは単体では個人を特定できません。しかし、リクナビを利用している企業が持っている情報と照合すると、個人を特定可能なことが分かっていながらデータを提供していたというものです。

このような経緯などがあり、たとえ個人データには該当しないものでも、提供元・提供先ともにダブルチェックが必要になりました。

提供元は個人データに該当しないデータであったとしても、提供先で個人を特定できそうな場合は、ユーザー本人の同意取得が必要になりました。提供先は、提供元が本当にユーザー本人から同意を得ているか確認しなければなりません。

Cookieにどう関係する？

ではここでCookieの話に戻しましょう。

改正された個人情報保護法改正では、サードパーティーCookieを発行した事業者が持っているデータを誰かに提供するとき、ユーザー（ウェブサイト利用者）からの同意を得ているか確認する必要があります。

詳細をご説明する前に、Cookieについて改めて整理しておきます。

Cookieとはウェブサイトにアクセスしたときに、パソコンやスマホに保存されるテキストファイルです。このファイルにはログインIDや閲覧履歴などが保存されています。前回のログインから時間が経ってもそのままSNSにログインできたり、AmazonなどのECサイトを閉じた後に再訪問するとカートの中身が保存されているのは、Cookieを活用しています。

Cookieは発行者によって区別されています。ウェブサイト運営者が発行したCookieをファーストパーティーCookie、ウェブサイト運営者ではない第三者（広告会社など）が発行したCookieをサードパーティーCookieと呼びます。

ファーストパーティーCookieは発行されたウェブサイト以外では利用できません。サードパーティーCookieは、発行されたウェブサイト以外でも利用可能です。広告会社と提携するウェブサイトなら横断してCookieを利用できるため、閲覧履歴を広く取得して、「閲覧履歴によると、この人の好みにあった広告はコレかな」と、広告の最適化に用いられています。

【例をあげて解説】改正個人情報保護法がサードパーティーCookieに与える影響

とあるECサイト（ウェブサイトAとします）が発行するCookieはファーストパーティーCookieです。

ウェブサイトAではない第三者（Cookie事業者Bとします）が発行したものがサードパーティーCookieです。

Cookie事業者Bが発行したサードパーティーCookieが、ウェブサイトAに設置してあります。Cookie事業者BはウェブサイトAを利用するユーザーの閲覧履歴データなどを保有していることになります。

しかし、Cookie事業者Bが持っているデータだけでは個人は特定できません。これまでは、Cookie事業者Bが持っているデータをウェブサイトAの運営者に提供することに制限はありませんでした。

しかし、ウェブサイトAの運営者が持っている別のリストと、Cookie事業者Bからもらったデータを照合することで、個人が特定できてしまう場合があります。先に紹介したリクナビ問題と同じ状態です。

改正後は、Cookie事業者BからウェブサイトAの運営者にデータを提供するとき、提供先で本人の特定ができそうな場合は、ウェブサイトAを利用するユーザー本人から同意を得なければなりません。

ここでいう「ユーザー本人から同意を得る」というのは、ウェブサイトAにボタンを表示するなどの方法があります。さらに、Cookie事業者BはウェブサイトAが本当にユーザーから同意を得ているかを確認しなければなりません。

これでようやく、Cookie事業者BからウェブサイトAの運営者へデータを提供できるようになります。

以上が、2022年4月の改正個人情報保護法が、Cookieに影響を及ぼす仕組みです。

4. ペナルティの在り方

今回の改正で、個人情報保護法の罰則も重たくなりました。

法人へのペナルティが特に強化され、内容によっては「1億円以下の罰金」が課せられます。

画像引用元：https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

5. 法の域外適用・越境移転の在り方

グローバル展開をしている企業に関係のある改正です。

外国にいる第三者に個人データを提供するときのルールが変更されました。

外国にいる第三者に個人データを提供するときは、個人データを提供した外国の状況や提供先企業の状況について、定期的に確認を行い、本人に情報提供を行うことが義務化されました。

マーケターが対応したい個人情報保護法の改正ポイント

2022年4月改正の個人情報保護法によって、マーケターが対応しなければならない項目をまとめました。

プライバシーポリシーへの追記を検討すること

以下の項目の追記が求められます。

・事業者の代表者名、住所
・利用目的
・安全管理措置の内容
・外国での個人情報の取扱いの委託先

「事業者の代表者名と住所」については、プライバシーポリシーからコーポレートサイトにある「企業概要」などへのリンクを設置する形でも問題ありません。

また記載せずとも、ユーザーの問い合わせにすぐに対応できる形にするだけでもOKです。

「利用目的」については、どのような取扱いが行われているか、ユーザーが想定できる程度に詳しく書く必要があります。

個人データの利用状況の開示についても、電子データでの開示を本人が指定できるようになっています。

また、外国のクラウドサービスを利用して個人データを保管している場合には「外国の事業者の国名」と「サーバーが設置されている国名」を表記しなければならないことにご注意ください。

冒頭にも記載しましたが、上記はあくまで対応事項のポイント解説です。詳細については必ず専門家に意見を伺うようにお願いします。

現状の個人データの取扱いを整理すること

プライバシーポリシーの整理とあわせて、現状の個人データの取扱いを整理しましょう。

・どのような個人データを持っているか
・第三者からどのような個人データが提供されているか
・それらをどうやって保管しているか
・本人の同意を取得する必要があるか

などを整理しておくと安心です。

まとめ

2022年4月に改正された個人情報保護法のポイントについて、マーケターに関係の深い部分をピックアップしながらご紹介いたしました。

大きなポイントは、次の2つです。

プライバシーポリシーに追記しなければならない情報が増えたこと
第三者から情報提供する場合、それが個人データではなくとも、何か別のデータと照合することで個人が特定できる場合には、本人からの同意を取得する必要がある（提供される場合は、提供元が本人から同意を得ているか確認する）

また、本記事で紹介した内容以外にも細かな変更点がいくつもあります。

重ねてにはなりますが、対応を進めるときは顧問弁護士などに相談しながら進めることをオススメいたします。「何が個人情報で、どこまで利用していいのか」という判断は非常に繊細です。

法人への罰則が重たくなっており、個人情報の取扱いが企業の信頼に直結しますので、慎重に作業を進めていきましょう。

• 
• 
•