{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
個人情報の保護に関する法律(以下、個人情報保護法)は、技術の発展や国際的動向などを踏まえて3年ごとに見直しを行うこと(以下、3年ごと見直し)が同法の附則において規定されています。
個人情報保護委員会は、この3年ごと見直しについて2023年11月から検討を進めており、2024年6月27日に「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」(以下、中間整理)を公表しました。
中間整理においては、個人の権利利益のより実質的な保護の在り方や実効性のある監視・監督の在り方などが検討項目として整理されており、今後も検討会などでの議論を通じて2024年末までに内容を固めていく予定です。
本稿ではその中でも特に規制強化の検討対象となる個人情報等の取扱いについて企業が留意すべきポイントを中心に解説します。
※本稿は中間整理において取り上げられている論点の一部を紹介するにとどまり、全ての要件を網羅していない点をあらかじめお断りいたします。
規制強化の検討対象となる個人情報等の取扱い
個人の権利利益をより実質的に保護することを目的として、個人情報等の取扱いに関する規制強化が検討されています。具体的には、1. データ主体と事業者との関係性に関する整理、2. 生体データ、3. 個人関連情報、4. 子どもの個人データの4項目が焦点となっており、これらについて、利用目的の厳密化や不適正利用事例の類型化などが検討されています(図表1)。
出典:「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」をもとにPwC作成
規制強化の検討事項と企業において留意すべきポイント
上記の規制強化に該当する個人情報やサービス形態を有する企業にとっては、今後の法改正の動向を見極めつつ対応の検討が必要になります。本章では各検討事項の概要と企業において留意すべきポイントについて概説します。
(1)企業とデータ主体の関係性が対等でない場合における検討事項と企業が留意すべきポイント
「企業とデータ主体の関係性が対等でない場合」とは、他の事業者により代替困難なサービスを提供しているデジタルプラットフォーム事業者とそのユーザーといった関係性や、立場上の優位性がある与信事業者とその利用者といった関係性のことを指します。
このような関係性において収集されたデータは、データ主体が自立的に個人データの提供を拒否することができなかった恐れがあるため、中間整理においては、データの利用方法について厳密化・類型化が必要になるとされています。
実際にデータの利用方法・取得方法の厳密化・類型化が求められた場合、当該サービスの利用規約に含ませる形で二次的な目的での利用承諾を得るといった方法は実質的に困難となります。その場合企業においては、「サービス利用」に係る許諾と、「二次的な目的での利用」に係る許諾を個別に取得し、それぞれで同意管理を行う仕組みの検討などが求められることになるでしょう(図表2)。
出典:総務省「プラットフォームサービスに関する研究会 最終報告書」(2020年2月)をもとにPwC作成
(2) 生体データを取り扱う企業・運営主体における検討事項と企業・運営主体が留意すべきポイント
生体データは、人の顔やDNA情報などをもとに個人を特定可能にしたデータのことです。これらのデータは長期間にわたり個人の特定が可能であるといった特徴により、利用データの特定や利用目的の厳密化がこれまで以上に求められる可能性があります(図表3)。
また、サービス展開にあたっては、PIA(プライバシー・インパクト・アセスメント)によりリスクを特定・低減する取り組みが推奨されます。PIAの取り組み詳細は「プライバシー影響評価(PIA)構築支援」をご参照ください。
出典:IoT 推進コンソーシアム・総務省・経済産業省「カメラ画像利活用ガイドブック」(2022年3月)をもとにPwC作成
(3)個人関連情報を取り扱う企業における検討事項と留意すべきポイント
これまで個人関連情報における法令上の制限は、一定の状況における第三者提供が発生する場合に限られていました。しかし、国内の裁判例や海外の取扱い事例において、個人関連情報であっても個人情報と同等以上にプライバシーを侵害する恐れがあることが指摘されており、今後は利用目的の通知や同意の取得が必要になるなど規制強化の検討が進められる予定です。
そのため、電話番号やCookie情報など、個人に到達することが可能な情報を個人関連情報として収集・利用している企業においては、その利用方法などにおいて、ウェブサイト上での公開やSNS上での公開など、データ主体のプライバシーの権利などの侵害につながることないかの確認が必要になると考えます。
そのうえで「Cookie情報の第三者提供を行っている」など、プライバシー上のリスク性が認められる場合には、個人情報の取得と同様に、明示的な形での利用目的の公表や本人同意の取得などを検討する必要があるでしょう。
(4)子どもの個人データを取り扱う企業・教育機関における検討事項と留意すべきポイント
子どもの個人データについては海外各国において法規制の整備が進められています。また、国内においても教育DXの進展などにより子どもの個人データを学習指導や健康管理などに役立てようとする動きが活発化しています。こうした背景において、子どもの敏感性・脆弱性に基づく要保護性に配慮した法制上の対応が必要となっています。
このことについて、子どもの個人データを取り扱う企業・教育機関においては法定代理人への説明・同意取得の対応など、複数の項目で対応が必要になる可能性があります(図表4)。
出典:「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」をもとにPwC作成
まとめ
技術の進展に伴い個人データの利活用を通じてビジネスを拡大する機運が世界的に高まる一方で、個人のプライバシーなどの権利利益を法令により保護する動きも強まっています。
日本においてもこの流れは例外でなく、2025年に予定されている法令改正では、個人データの有用性に配慮しつつ、個人のプライバシー権保護が強化される可能性が高いと言えます。
そこで、個人データの取得・利活用を推進する企業においては、利用者・消費者に対する明示的な目的の通知など外部向けの取り組みと、社内におけるコンプライアンス・リスク管理部門の設置といった内部向けの取り組みを総合的に実施していく、いわゆるプライバシーガバナンスを強化していく取り組みが重要になってくると考えられます。
なお、法令改正に向けては引き続き議論の余地が多く、今後の議論を踏まえて内容が変更になる可能性があります。そのため、実際の対応については今後の法令改正の動向を踏まえ詳細を検討することを推奨します。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
