改正個人情報保護法に関する具体的な対応策 ―データ主体の権利強化とデータ利活用の促進

2021-07-20

2022年4月の「個人情報の保護に関する法律等の一部を改正する法律」(以下、改正法)全面施行に向け、多くの企業が改正法への対応を検討し始めています。しかし、何から検討し、着手すべきか迷っている企業もあるのではないでしょうか。

PwCコンサルティング合同会社(以下、PwCコンサルティング)で支援しているクライアントが抱える代表的な課題として、以下のような事例が挙げられます。

図 改正法対応における企業の悩み

本稿では、改正法全面施行に係る企業の課題に対し、具体的な対応策として事例を挙げながら「(データを提供した)本人の権利強化への対応」と「データ利活用の促進」について解説します。

※本稿は、PwCコンサルティングの支援実績に基づいた内容であり、改正法の全ての要件を網羅することを示したものではない点をあらかじめお断りしておきます。

本人の権利強化への対応

「本人の権利強化への対応」に係る改正法のポイントは主に次の2点です。

① 本人が請求可能な対象の個人データが拡大

  • 6カ月以内に消去する「短期保存データ」が、個人情報取扱事業者が開示、訂正、追加、削除などの権限を持つ「保有個人データ」へ変更に。
  • 保有個人データの開示方法について、デジタル形式での提供を含め、本人が指示することが可能に。
  • 個人データを第三者に提供した際の確認記録について、本人が開示請求することが可能に。

② 本人への情報提供の対象が拡大

  • 海外の第三者へ個人データを提供(移転)する際、移転先の第三者による個人情報の取扱いに関して本人に提供すべき情報の項目が拡大。

これらのポイントに対応しようとする企業からは、次のような悩みをよく聞きます。

a)どのような個人情報を保有しているか。
各部署にて第三者提供時の記録等が徹底されているかがわからない。

現行法では、6カ月以内に消去しなければならない短期保存データは、保有個人データの定義に含まれておらず、個人情報取扱事業者は、開示や利用停止などの請求に応じる義務がありませんでした。しかし今回の法改正により「短期保存データ」が保有個人データに含まれることとなったため、個人データを第三者に提供した際の記録とともに、本人からの開示請求の対象となりました。さらに、外国の第三者へ個人データを提供する際、第三者の個人情報の取扱いに関して、本人に提供する情報を充実させることなども求められるようになりました。

これらの要件への対応を検討している企業からは、「そもそも保有している個人データの全容を把握しきれているのだろうか」「把握している内容に網羅性があるのだろうか」といった不安の声を聞くことがあります。

このため、PwCコンサルティングでは「個人データに関する記録項目の見直し」や「拡充した記録項目に沿った個人データの棚卸し調査の実施」を推奨しています。具体的には、既存の個人データ管理台帳の項目を今回の改正法の内容に合わせて更新し、関連する各部署や、対象となる個人データを取扱っている国内外のグループ会社に対して、改めて記入を依頼します。追加や見直しなどの対応をすべき管理項目としては、短期保存データや、外国にある第三者への個人データ提供時に本人に提供すべき情報などが想定されます。

また、個人データ管理の実効性を担保するため、定期的に個人データの棚卸しを実施する必要があります。このため、運用プロセスの整備から定着までの取り組みを併せて実施することを勧めています。

管理対象となる個人データが膨大な場合、管理プロセスを人の手だけで行うことは困難です。このようなケースでは、個人のプライバシーを保護、さらにプライバシー管理に関する運用を効率化するためのテクノロジー(プライバシーテック)を用いたツールの活用が有効です。ツールは、日本の改正法だけではなく、欧州一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)など複数の個人データ保護規制に則した管理の一助となることも期待されます。また、個人データの棚卸しのみならず、本人からの同意やベンダーリスクの管理、プライバシーの影響評価などにも活用できることから、グローバルでの総合的なプライバシー保護への対応にも有益です。

b)本人請求対応のための運用整備がされていない。
他部署との責任分界点が不明瞭。

上述のとおり、改正法では個人の権利がより強化されており、本人が請求可能な個人データの対象が拡大しています。その一方で、企業からは「本人から請求を受け、対応するための運用体制の整備が十分できていない」「複数部署をまたいだ調整や連絡体制、責任分界点が不明瞭」といった声を聞くのも事実です。

例えば、本人から「〇〇サービスで個人データを提供した。同意を撤回し、利用を停止してほしい」との依頼を受けた場合、以下のような対応が必要となりますが、速やかに回答するためのプロセスが整備されているでしょうか。また、その回答の裏付けとなる根拠を提示できるでしょうか。以下の3点について考えてみてください。

① 個人データの格納場所・利用状況を把握する。

  • 〇〇サービスで提供を受けた個人データは、現在どこのデータベースに格納されているか。
  • 当該データベース以外の媒体(紙や電子データ)、他のシステムへの連携は行われているか。
  • データやシステムを管理するのはどの部署か。
  • データの第三者提供や外国への移転を行っているか。

② 当該個人データに対する「同意」の取得状況を確認する。

  • 同意はいつ、どこで、どのような目的で取得したか。
  • 同意の記録はどこで管理しているか。
  • 同意の撤回による影響はあるか。

③ 当該個人データは、「利用停止」が可能な個人データかを確認する。

  • 当該個人データは「同意撤回を受け入れ、利用停止」しても差支えないデータか(マーケティング、製品・サービスの保証、契約締結、法的義務の遵守といった目的の達成を妨げないか)。
  • 同意を撤回した場合、本人にどのような影響があるか。またその内容を本人に伝えているか(例えば、マーケティング目的の案内メールの配信が停止されるなど)。

もちろん、本人からの請求内容によっては、上記のような詳細情報の全てを提示する必要があるとは限りません。しかし、個人データを取扱う企業として、常に最新かつ正確、網羅的な情報を把握し、提示できるような状態にしておくべきでしょう。

また、速やかに対応するためには、プライバシーに関連する管理部門だけではなく、それぞれの業務部門やグループ会社が「自部門・自社で保有する個人データは何か」「データの利活用について本人から同意を得ているか」「本人の請求に対応する運用プロセスはどのような内容か」を理解し、実際に請求があった場合に迅速に対応できることが肝要です。

そのためには、今回の法改正への対応を機に、個人データを取得しており、なおかつ問い合わせがくる可能性が高い顧客との接点の洗い出しや、プライバシー対応の見直し、さらには複数部署をまたいだ請求対応プロセスの整備や訓練などを実施しておくといいでしょう。

c)ウェブサイトのプライバシーポリシーが
本人へ「伝わりやすい」内容になっているかがわからない。

法改正による本人の権利強化もありますが、GDPRやCCPAなどにおけるデータ主体の権利強化、外国での訴訟事例などを受け、「自社のプライバシーポリシーは、内容や粒度はこれでいいのかわからない」「上層部からプライバシーポリシーの見直しを命じられたが、何から手を付けていいかわからない」といった悩みを聞くことがあります。

ウェブサイトにプライバシーポリシーを掲載する主な目的は、本人に自身の個人データが「いつ」「どこで」「誰に」「どのように」利用され、「誰へ」提供されているのかを理解してもらうことや、本人に個人データに関する取扱い状況などを請求する権利があること、そしてその請求方法を知ってもらうことです。

このため、プライバシーポリシーが本人に伝わりやすい内容になっていることが何より大切です。では、以下の3点に即した内容・構成となっているでしょうか。

  • 難解な用語を多用した長文になってはいないか。
  • 本人が知りたい内容がどこに記載されているか、すぐにわかる構成か。
  • 複数の言語への対応など、多様なユーザーを想定したものになっているか。

今回の法改正を機に、ユーザーエクスペリエンス(UX)の観点から、改めてプライバシーポリシーを見直すことが望まれます。

データ利活用の促進

改正法の「データ利活用の促進」に係るポイントは主に以下の2点があります。

① イノベーションを促進する観点から、氏名などを削除した「仮名加工情報」の創設

  • (会社などの)内部分析に限定することなど条件に、開示・利用停止請求への対応などの義務を緩和された。

② 提供先で「個人データ」になることが想定される第三者提供への本人同意の取得

  • 提供元では個人データに該当しないものの、提供先で個人データとなることが想定される情報の第三者への提供について、本人の同意が得られていることなどの確認が義務化された。

これらのポイントに対応しようとする企業から、次のような悩みをよく聞きます。

a)個人データの利活用を検討しているが、
そもそも利活用していいデータがどれかがわからない。

今回の法改正で「仮名加工情報」が創設されたことにより、企業などでのデータ利活用の促進が期待されます。その一方「現在、自社で保有している個人データを利活用していいかわからない」「どのようなデータの取扱いが可能か、整理ができていない」「社内でデジタルトランスフォーメーション(DX)を推進する部署が立ち上がったが、プライバシー保護が考慮されていない」といった戸惑いの声も耳にします。

このような問題に対しては、次のようなアプローチが考えられます。

① データ利活用の目的や必要な個人データ、データ種別を定義

  • 「自社のビジネス戦略を実行する上でどのようなデータの利活用が必要か」「その目的やゴールは何なのか」「どのようなデータを利用すれば必要な洞察が出せるのか」「そのために必要なデータは何なのか」「データ種別が『個人情報』『個人関連情報』『仮名加工情報』『匿名加工情報』、あるいは法律上の個人情報に該当しない『統計情報』のどれに適しているか」をといったことを明確化する。
  • 利用目的を考慮して、必要以上に本人を特定できてしまう種別を選択していないかを確認する。

※なお、基本的にはこのステップはデータの収集前に行うべきです。

② 本人への利用目的の通知の有無などを確認(上記UXの観点による考慮も必要)

  • 「本人へデータの利用目的などの情報提供は行っているか」「本人から同意を取得しているか」「本人にとってわかりやすい通知を行っているか」といったことを改めて確認する。

③ プライバシー担当者へデータ利活用の相談が入ってくるようなプロセスを整備し、社内に周知

  • プライバシー担当部門へデータの利活用に関する相談が届くようなプロセス、エスカレーションルートが整備されているかを確認する。整備されていない場合は、社内の既存プロセスを考慮しながら運用方法を検討する。
  • データを利活用する可能性がある部署(DX推進部、マーケティング部、IT部、人事部、経営企画部など)の社員には、事前にデータ利活用時の個人情報に関する教育を行い、プライバシー保護の運用を徹底するよう周知する。

b)データ種別ごとの加工方法がわからない。

「仮名加工情報」が創設されたことで、企業のデータ利活用時の種別が「個人情報」「個人関連情報」「仮名加工情報」「匿名加工情報」の4つに増えました。

個人情報保護委員会のガイドラインを参照し、種別に応じた加工ができ、なおかつ本人の匿名性が担保される情報の取扱い方法を採用し、外部にきちんと実証できる状態にしておくことが必要です。

上述の通り「データ利活用の目的や必要な個人データ、データ種別を定義」するとともに、データ種別に応じて必要な加工方法を検討することが有効です。データの種別、取扱いプロセス、システムを調査し、「必要な加工手段は何か」「その加工手段により適切なデータ種別に加工できるのか」といったことを検証することも求められます。

c)第三者提供先において個人データにならないかが心配

今回の法改正によって「第三者が個人データとして個人関連情報を取得することが想定されるとき」には、当該個人関連情報の取扱事業者は、本人同意の取得有無などを確認することが必要となります。

同様のケースが実際に本要件に該当するのか適切に判断するためには、ガイドラインによる明確化や例示などを踏まえることで、本要件に該当し得る個人関連情報の有無を確認し、第三者提供先との連絡体制を確立するなど本要件に対応するためのプロセスを整備することが望まれます。

最後に

本稿では、改正法の「本人の権利強化への対応」と「データ利活用の促進」に関する主な変更点と、それに伴う企業の課題や対応例を紹介しました。

本稿で取り上げた対応例に共通するポイントは、プライバシー保護を推進する管理部門が、単に社内のプロセスや規程、マニュアルを整備するだけではなく、個人データを利活用する部署やグループ企業にいかに周知し、それらの運用を徹底してもらう仕組みを作るか、という点です。

今回の改正法への対応には、「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)」の参照が望まれますが、ガイドラインの公表に先立ち、検討の一助となれば幸甚です。

執筆者

宮内 美里

マネージャー, PwCコンサルティング合同会社

Email


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}