「改正個人情報保護法~2022年4月全面施行④~第三者提供規制の厳格化、Cookieも注意」
2022.03.08|甲斐野 正行
2020年6月に公布された改正個人情報保護法が2022年4月に全面施行されることになっていますが、実務的に注意すべき点を更に見ていきます。
1)オプトアウト
個人データを第三者に提供するときには、原則として本人の同意が必要ですが、現行法では、オプトアウトといって、本人の求めに応じて提供を停止することとしている場合であって、予め、以下の項目について、本人に通知し、又は本人が容易に知り得る状態に置いた場合には、予め本人の同意を得ることなく第三者に提供することをいいます(個人情報保護法23条2項)。
・個人データを第三者に提供する旨
・提供する個人データの項目
・提供方法
・本人の求めに応じて提供を停止する旨
しかし、いわゆる名簿業者による個人データの不正流通問題があったことから、その対策として、前回改正では、オプトアウトに関して個人情報保護委員会への届出義務が取扱事業者に課されましたが、今改正では、更にオプトアウトができるデータの範囲が限定され、届出事項も増えます。
現行法では、要配慮個人情報のみオプトアウト対象外ですが、今改正後は、これに加えて、
① 不正な手段で取得された個人データ、
② オプトアウト方式を利用して提供を受けた個人データ
も対象外になります。
さらに、個人情報保護委員会への届出事項も上記の項目に加えて、以下の事項も必要になります。
・個人情報取扱事業者の氏名又は名称及び住所(法人は、その代表者の氏名)
・第三者に提供される個人データの取得方法
・第三者に提供される個人データの更新方法
・当該届出に係る個人データの第三者への提供を開始する予定日
2)提供元では個人データに該当しない場合でも要注意!
第三者提供の際、提供元では該当せずに提供先で個人データとなることが想定される情報があり、その典型が「Cookie」です。
「Cookie」とは、大まかにはパソコンの閲覧履歴などを記録・保存する仕組みですが、何度か使っているショッピングサイトを再訪したときに、お勧めが表示されたり、以前カートに入れた商品がそのまま残っていたりすることがありますよね。
これはそのサイト側がCookie情報をみて、そのユーザに合わせたコンテンツを表示しているのです。これはサイト側にもユーザ側にもそれぞれ便利なものといえますが、特にユーザ側にとってはプライバシーと緊張関係にあります。
現行法では、Cookieで得られるデータは、それ単体では個人を特定できないため、個人情報にあたらないとされていますが、Cookieから得たデータを他の情報と照合することにより、特定の個人を識別することも可能であり、2019年にその関連で問題となる事件が起こったため、今改正で規制が強化されました。
今改正後は、取扱事業者は、Cookieで得られたデータも、それを第三者に提供する場合には、必要に応じて、本人の同意が得られていることの確認を行う必要があります。
3)過去の様々なデータから将来の問題を予見して問題が起きる前に対応する予測・予防型のサービスや、個人情報などを安全かつ有効に活用して個人にカスタマイズして情報提供するサービスなどの有用性が経済的・社会的に期待されており、個人データの利活用は重要なものといえます。
今回の個人情報保護法改正は、これまで見てきましたように、本人の権利の拡大、事業者の責任強化を図る一方で、現行法の「匿名加工情報」の利用があまり進まないことから、匿名化の加工水準を緩和しつつ、会社内での利用に限定して利用する、中間的なものとして新たに「仮名加工情報」を創設するなど個人データの利活用の促進も図っていますが、第三者提供規制との折合はなかなか簡単ではなさそうです。
過去の関連ブログ
↓ ↓ ↓ ↓ ↓ ↓
2022.01.13
2022.02.01
「改正個人情報保護法~2022年4月全面施行②~本人の権利の拡充」
2022.02.24