「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」から見る規制強化のポイントと企業が留意すべき事項

規制強化の検討事項と企業において留意すべきポイント

上記の規制強化に該当する個人情報やサービス形態を有する企業にとっては、今後の法改正の動向を見極めつつ対応の検討が必要になります。本章では各検討事項の概要と企業において留意すべきポイントについて概説します。

（1）企業とデータ主体の関係性が対等でない場合における検討事項と企業が留意すべきポイント

「企業とデータ主体の関係性が対等でない場合」とは、他の事業者により代替困難なサービスを提供しているデジタルプラットフォーム事業者とそのユーザーといった関係性や、立場上の優位性がある与信事業者とその利用者といった関係性のことを指します。

このような関係性において収集されたデータは、データ主体が自立的に個人データの提供を拒否することができなかった恐れがあるため、中間整理においては、データの利用方法について厳密化・類型化が必要になるとされています。

実際にデータの利用方法・取得方法の厳密化・類型化が求められた場合、当該サービスの利用規約に含ませる形で二次的な目的での利用承諾を得るといった方法は実質的に困難となります。その場合企業においては、「サービス利用」に係る許諾と、「二次的な目的での利用」に係る許諾を個別に取得し、それぞれで同意管理を行う仕組みの検討などが求められることになるでしょう（図表2）。

^{出典：総務省「プラットフォームサービスに関する研究会 最終報告書」（2020年2月）をもとにPwC作成}

(2)   生体データを取り扱う企業・運営主体における検討事項と企業・運営主体が留意すべきポイント

生体データは、人の顔やDNA情報などをもとに個人を特定可能にしたデータのことです。これらのデータは長期間にわたり個人の特定が可能であるといった特徴により、利用データの特定や利用目的の厳密化がこれまで以上に求められる可能性があります（図表3）。

また、サービス展開にあたっては、PIA（プライバシー・インパクト・アセスメント）によりリスクを特定・低減する取り組みが推奨されます。PIAの取り組み詳細は「プライバシー影響評価（PIA）構築支援」をご参照ください。

^{出典：IoT 推進コンソーシアム・総務省・経済産業省「カメラ画像利活用ガイドブック」(2022年3月)をもとにPwC作成}

（3）個人関連情報を取り扱う企業における検討事項と留意すべきポイント

これまで個人関連情報における法令上の制限は、一定の状況における第三者提供が発生する場合に限られていました。しかし、国内の裁判例や海外の取扱い事例において、個人関連情報であっても個人情報と同等以上にプライバシーを侵害する恐れがあることが指摘されており、今後は利用目的の通知や同意の取得が必要になるなど規制強化の検討が進められる予定です。

そのため、電話番号やCookie情報など、個人に到達することが可能な情報を個人関連情報として収集・利用している企業においては、その利用方法などにおいて、ウェブサイト上での公開やSNS上での公開など、データ主体のプライバシーの権利などの侵害につながることないかの確認が必要になると考えます。

そのうえで「Cookie情報の第三者提供を行っている」など、プライバシー上のリスク性が認められる場合には、個人情報の取得と同様に、明示的な形での利用目的の公表や本人同意の取得などを検討する必要があるでしょう。

（4）子どもの個人データを取り扱う企業・教育機関における検討事項と留意すべきポイント

子どもの個人データについては海外各国において法規制の整備が進められています。また、国内においても教育DXの進展などにより子どもの個人データを学習指導や健康管理などに役立てようとする動きが活発化しています。こうした背景において、子どもの敏感性・脆弱性に基づく要保護性に配慮した法制上の対応が必要となっています。

このことについて、子どもの個人データを取り扱う企業・教育機関においては法定代理人への説明・同意取得の対応など、複数の項目で対応が必要になる可能性があります（図表4）。

^{出典：「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」をもとにPwC作成}