改正個人情報保護法に関する具体的な対応策 ―データ主体の権利強化とデータ利活用の促進

本人の権利強化への対応

「本人の権利強化への対応」に係る改正法のポイントは主に次の2点です。

① 本人が請求可能な対象の個人データが拡大

• 6カ月以内に消去する「短期保存データ」が、個人情報取扱事業者が開示、訂正、追加、削除などの権限を持つ「保有個人データ」へ変更に。
• 保有個人データの開示方法について、デジタル形式での提供を含め、本人が指示することが可能に。
• 個人データを第三者に提供した際の確認記録について、本人が開示請求することが可能に。

② 本人への情報提供の対象が拡大

• 海外の第三者へ個人データを提供（移転）する際、移転先の第三者による個人情報の取扱いに関して本人に提供すべき情報の項目が拡大。

これらのポイントに対応しようとする企業からは、次のような悩みをよく聞きます。

現行法では、6カ月以内に消去しなければならない短期保存データは、保有個人データの定義に含まれておらず、個人情報取扱事業者は、開示や利用停止などの請求に応じる義務がありませんでした。しかし今回の法改正により「短期保存データ」が保有個人データに含まれることとなったため、個人データを第三者に提供した際の記録とともに、本人からの開示請求の対象となりました。さらに、外国の第三者へ個人データを提供する際、第三者の個人情報の取扱いに関して、本人に提供する情報を充実させることなども求められるようになりました。

これらの要件への対応を検討している企業からは、「そもそも保有している個人データの全容を把握しきれているのだろうか」「把握している内容に網羅性があるのだろうか」といった不安の声を聞くことがあります。

このため、PwCコンサルティングでは「個人データに関する記録項目の見直し」や「拡充した記録項目に沿った個人データの棚卸し調査の実施」を推奨しています。具体的には、既存の個人データ管理台帳の項目を今回の改正法の内容に合わせて更新し、関連する各部署や、対象となる個人データを取扱っている国内外のグループ会社に対して、改めて記入を依頼します。追加や見直しなどの対応をすべき管理項目としては、短期保存データや、外国にある第三者への個人データ提供時に本人に提供すべき情報などが想定されます。

また、個人データ管理の実効性を担保するため、定期的に個人データの棚卸しを実施する必要があります。このため、運用プロセスの整備から定着までの取り組みを併せて実施することを勧めています。

管理対象となる個人データが膨大な場合、管理プロセスを人の手だけで行うことは困難です。このようなケースでは、個人のプライバシーを保護、さらにプライバシー管理に関する運用を効率化するためのテクノロジー（プライバシーテック）を用いたツールの活用が有効です。ツールは、日本の改正法だけではなく、欧州一般データ保護規則（GDPR）やカリフォルニア州消費者プライバシー法（CCPA）など複数の個人データ保護規制に則した管理の一助となることも期待されます。また、個人データの棚卸しのみならず、本人からの同意やベンダーリスクの管理、プライバシーの影響評価などにも活用できることから、グローバルでの総合的なプライバシー保護への対応にも有益です。

上述のとおり、改正法では個人の権利がより強化されており、本人が請求可能な個人データの対象が拡大しています。その一方で、企業からは「本人から請求を受け、対応するための運用体制の整備が十分できていない」「複数部署をまたいだ調整や連絡体制、責任分界点が不明瞭」といった声を聞くのも事実です。

例えば、本人から「〇〇サービスで個人データを提供した。同意を撤回し、利用を停止してほしい」との依頼を受けた場合、以下のような対応が必要となりますが、速やかに回答するためのプロセスが整備されているでしょうか。また、その回答の裏付けとなる根拠を提示できるでしょうか。以下の3点について考えてみてください。

① 個人データの格納場所・利用状況を把握する。

• 〇〇サービスで提供を受けた個人データは、現在どこのデータベースに格納されているか。
• 当該データベース以外の媒体（紙や電子データ）、他のシステムへの連携は行われているか。
• データやシステムを管理するのはどの部署か。
• データの第三者提供や外国への移転を行っているか。

② 当該個人データに対する「同意」の取得状況を確認する。

• 同意はいつ、どこで、どのような目的で取得したか。
• 同意の記録はどこで管理しているか。
• 同意の撤回による影響はあるか。

③ 当該個人データは、「利用停止」が可能な個人データかを確認する。

• 当該個人データは「同意撤回を受け入れ、利用停止」しても差支えないデータか（マーケティング、製品・サービスの保証、契約締結、法的義務の遵守といった目的の達成を妨げないか）。
• 同意を撤回した場合、本人にどのような影響があるか。またその内容を本人に伝えているか（例えば、マーケティング目的の案内メールの配信が停止されるなど）。

もちろん、本人からの請求内容によっては、上記のような詳細情報の全てを提示する必要があるとは限りません。しかし、個人データを取扱う企業として、常に最新かつ正確、網羅的な情報を把握し、提示できるような状態にしておくべきでしょう。

また、速やかに対応するためには、プライバシーに関連する管理部門だけではなく、それぞれの業務部門やグループ会社が「自部門・自社で保有する個人データは何か」「データの利活用について本人から同意を得ているか」「本人の請求に対応する運用プロセスはどのような内容か」を理解し、実際に請求があった場合に迅速に対応できることが肝要です。

そのためには、今回の法改正への対応を機に、個人データを取得しており、なおかつ問い合わせがくる可能性が高い顧客との接点の洗い出しや、プライバシー対応の見直し、さらには複数部署をまたいだ請求対応プロセスの整備や訓練などを実施しておくといいでしょう。

法改正による本人の権利強化もありますが、GDPRやCCPAなどにおけるデータ主体の権利強化、外国での訴訟事例などを受け、「自社のプライバシーポリシーは、内容や粒度はこれでいいのかわからない」「上層部からプライバシーポリシーの見直しを命じられたが、何から手を付けていいかわからない」といった悩みを聞くことがあります。

ウェブサイトにプライバシーポリシーを掲載する主な目的は、本人に自身の個人データが「いつ」「どこで」「誰に」「どのように」利用され、「誰へ」提供されているのかを理解してもらうことや、本人に個人データに関する取扱い状況などを請求する権利があること、そしてその請求方法を知ってもらうことです。

このため、プライバシーポリシーが本人に伝わりやすい内容になっていることが何より大切です。では、以下の3点に即した内容・構成となっているでしょうか。

• 難解な用語を多用した長文になってはいないか。
• 本人が知りたい内容がどこに記載されているか、すぐにわかる構成か。
• 複数の言語への対応など、多様なユーザーを想定したものになっているか。

今回の法改正を機に、ユーザーエクスペリエンス（UX)の観点から、改めてプライバシーポリシーを見直すことが望まれます。

最後に

本稿では、改正法の「本人の権利強化への対応」と「データ利活用の促進」に関する主な変更点と、それに伴う企業の課題や対応例を紹介しました。

本稿で取り上げた対応例に共通するポイントは、プライバシー保護を推進する管理部門が、単に社内のプロセスや規程、マニュアルを整備するだけではなく、個人データを利活用する部署やグループ企業にいかに周知し、それらの運用を徹底してもらう仕組みを作るか、という点です。

今回の改正法への対応には、「個人情報の保護に関する法律についてのガイドライン（通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編）」の参照が望まれますが、ガイドラインの公表に先立ち、検討の一助となれば幸甚です。