データプライバシー用語集(前編) - 法令編 -
近年、Webサイトやアプリ利用者のプライバシー保護の機運が高まり、法規制強化やプラットフォーマーによるトラッキング防止といった措置が相次いで導入されています。デジタルマーケティングにおいては、Cookie情報の使用制限強化など、個人のプライバシーに関する法令や動向を正しく理解しておく必要性が高まっています。そこで、当該問題におけるキーワードを2回に分けてご紹介いたします。
※本記事は2021年6月現在の内容です
データプライバシー用語集(後編) - アドテクノロジー編を読む
データプライバシー用語集(前編) - 法令編
GDPR
General Data Protection Regulation:一般データ保護規則。氏名やメールアドレス、クレジットカード番号などの個人情報保護やその取り扱いについて、欧州の対象国[1]に適用される法令で、2018年5月に施行された。1995年から適用されてきた「EUデータ保護指令」よりも事業者の義務が厳格化されている。具体的には、オンライン識別子(IPアドレスやCookieなど)もデータ保護の対象に含まれる。本人が自分自身に関する全てのデータの削除を管理者に要求できる、個人データ管理者は個人データの侵害に気づいたら72時間以内に規制当局に通知しなければならない、などの規定がある。また、違反した場合、莫大な制裁金が課されるなど罰則も強化されている。EU域内で事業活動を行う企業だけでなく、対象国内に所在する者の個人情報を扱う日本企業も適用対象とされるため、多くの企業において対応が不可欠。
CCPA
California Consumer Privacy Act:カリフォルニア州消費者プライバシー法。米国カリフォルニア州住民のプライバシー保護を定めた州法で、2020年1月から施行された。年間の総収益が2,500万米ドル以上あるか、単独または組み合わせにより5万件以上の消費者、世帯またはデバイスの個人情報を商業目的で取得・販売・共有しているか、年間売上高の50%以上をカリフォルニア州の住民の個人情報の販売から得ているか、いずれかを満たす事業者は、同州に事業拠点がなくても対象となりうる。
違反すると1件あたり最大2,500米ドル、故意と認定された場合は7,500米ドルの民事制裁金が課されるほか、消費者による提訴権が認められており、個人情報が不正アクセス等された場合に1 件(1 名、1 事故ごとに算定)あたり、100 米ドル以上 750 米ドル以下の法定損害賠償または実損のいずれか大きい額の賠償請求が行われる可能性もある(1798.150条)。
また、個人情報の定義が広く、かつ定義条項の中に「限定されるわけではない」「これに限らない」との記述があるため、定義条項の中で明文化された情報以外も広く適用対象 になる可能性がある。法定文書の作成やシステムにおける消費者への通知要件など細かく規定されている点にも要注意。
改正個人情報保護法
日本の個人情報保護法は、2003年5月に個人の権利・利益の保護を個人情報の有用性とのバランスを図ることを目的に2003年5月に成立、2005年4月に全面施行された。
現行の個人情報保護法は、2015年9月に改正案が成立、2017年5月に全面施行されたもので、主な改正点として
①従来、適用対象外だった個人情報数5,000以下を取り扱う小規模事業者も適用対象に
②「要配慮個人情報」を新設し、特に慎重な取扱いのルールを整備
③「匿名加工情報」を新設し、データの自由な流通や利活用を促進
④個人情報の利用目的の変更制限の緩和
⑤本人からの開示等の請求権の明確化
⑥オプトアウト規定の厳格化や個人データの第三者提供に係る記録義務の新設
などが挙げられ、プライバシー保護にも配慮しつつ、データ利活用のための環境整備が進められた。
その後、2020年6月に新たに改正案が成立し、2022年に施行予定となっている。2020年改正での主な改正点としては、
①個人関連情報を第三者提供する際に、提供先において個人データとなることが想定される場合には、本人同意が得られていること等を確認することの義務化
②「仮名加工情報」を新設し、自社内での内部分析等を条件に、利用目的の変更の制限等を緩和
③個人情報の越境移転を行う際に、移転先の国名表示など、本人への充実した情報提供の義務化
④法人の罰金上限1億円への引き上げなどのペナルティ強化
などが挙げられ、更に踏み込んでプライバシー保護が進められた内容となっている。
なお、個人情報保護は、情報の取扱いに関連するITの進展が著しいことから、三年ごとの見直しを行う規定が設けられている。
匿名加工情報
特定の個人を識別できないように個人情報を加工した上で、復元できないように処理した情報のこと。一定のルールのもと、本人の同意を得なくても第三者提供や情報取得時に同意取得した目的以外の利用が可能となる。この活用例としては、ポイントカードの購買履歴や交通系ICカードの乗降履歴などを複数の事業者間で横断的に利活用することで新たなサービスやイノベーションにつなげたり、カーナビなどから収集される走行位置履歴などのデータを活用したより精緻な渋滞予測、医療機関が保有する医療データを活用した創薬・臨床分野への貢献、生命保険会社による加入者の健康データの利活用による商品開発といったことが期待されている。
なお、匿名加工情報の作成時、および匿名加工情報を第三者に提供する際は、それを行う事業者に公表義務が課される。
個人情報の越境移転
2020年改正の個人情報保護法(2020年公布・2年以内の施行)において、外国にある第三者に提供される個人情報の規定が変更された。現行法では、個人情報の越境移転に際しては、移転先が当局の規則で定める一定の個人情報保護の水準にある国や事業者を除き、あらかじめ「外国にある第三者への提供を認める旨」の本人の同意を得なければならないとされてきたが、国名表示の要否など同意すべき事項の具体的内容については曖昧とされてきた。
しかし、近年、データ保護関連法制が世界的に広がる中、中国で2017年に施行された「国家情報法」など国家による情報管理規制もみられ、自己の個人情報の移転先での取扱状況について不安が高まってきた。そこで、今回の改正では、本人の同意に基づいて越境移転を行う場合と、移転先事業者において規則が定める基準に適合する体制が整備されていることを条件に同意を不要とする場合の双方において、本人に対する情報提供を充実させる代わりに、越境移転を行う事業者に対する一定の措置が求められることになった。
具体的には、同意に基づく場合には、提供先の第三者が所在する国名や、その国における個人情報保護制度の有無および概要などの情報提供、適合体制の整備に基づく場合には、提供先である第三者における適合体制の継続的な実施を確保するために必要な措置の実施、本人の求めがあった場合における必要な措置に関する情報提供が義務付けられる。
昨今、インターネット上のサービスを利用する際に、個人情報の保管場所が海外クラウドベンダの国外リージョンになっているケースもあり、本人に対する情報提供には注意が必要である。
インフォマティブデータ
インフォマティブデータについては、日本インタラクティブ広告協会(JIAA)において定義されており、「郵便番号、メールアドレス、性別、職業、趣味、顧客番号、Cookie情報、IP アドレス、端末識別 ID などの識別子情報および位置情報、閲覧履歴、購買履歴といったインターネットの利用にかかるログ情報などの個人に関する情報で、個人を特定することができないものの、プライバシー上の懸念が生じうる情報、ならびにこれらの情報が統計化された情報であって、個人と結びつきえない形で使用される情報」の総称をいう。
個人情報保護法が定める個人情報以外の、実質的に個人を識別し、ターゲティング広告等に活用される情報を「インフォマティブデータ」(インフォマティブ=情報価値を持つ)と名付け、取り扱いによっては消費者のプライバシーに影響を与える可能性があることに鑑み、その取扱基準を示している。具体的には、インフォマティブデータの取扱いについて消費者の関心が高いことに鑑み、これらの情報を利用する場合は、個人情報保護法における個人情報と同様にその利用方法、利用目的等を明示すべきとする、などが挙げられる。
データプライバシー用語集(後編) - アドテクノロジー編を読む
[1] GDPR保護対象国:EU加盟国、欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン。英国は2020年にEUを離脱したことに伴い、GDPRの水準を維持した英国の個人データ保護に関する国内法を導入している。