個人情報保護法は、情報技術の著しい進歩に伴い柔軟な視点が必要となるため、3年ごとに見直されることになっています。

そこで2020年の改正に向けて、「個人情報保護委員会」より中間整理案が発表されました。個人情報を扱う事業者にとっては、さまざまな対応を迫られることが予想され、今後の見通しが気になるところです。

本記事では、「個人情報保護委員会」の中間整理案を参照し、個人情報保護法の改正ポイントについて解説します。

個人情報保護法が見直される背景と主な改正ポイント


2020年の改正に向けて、個人情報保護委員会が公表したのは「個人情報保護法 いわゆる3年ごとの見直しに係る検討の中間整理(案)」という文書です。

※出典:「第103回 個人情報保護委員会」https://www.ppc.go.jp/aboutus/minutes/2019/20190425/


今回の見直しの背景には、IT企業による個人情報の不正利用問題や過剰なターゲティング広告、EUにおけるGDPR(一般データ保護規則)の導入などが要因としてみられます。


実際に個人情報保護法相談ダイヤルに寄せられる意見には、データ活用の多様化と個人の権利に関連して、「自分の個人情報がどのように使用されるのか」という声や「事業者からの勧誘をやめてほしい」「自分の個人情報を削除してほしい」といった相談など事業者に対する不満や苦情が少なくありません。


こうした実態を踏まえ、今回注目される改正ポイントの一つに、個人情報の利用停止を企業に請求できる「利用停止権」の検討が挙げられます。


現行法でも個人が企業に対してデータ利用の停止を求めることは可能ですが、データの取得方法などによって適用範囲が限定的です。しかし改正によって適用範囲が広がった場合、たとえ同意の上で企業が個人情報を取得したとしても、個人はデータ利用の停止を企業に要求できるようになります。また、データの取得方法にかかわらず、個人から情報を開示する請求があった場合も、企業は開示に応じなければなりません。


一方、EUの動きを踏まえて、これまでの匿名加工情報制度を見直し、企業のデータ活用が広がりやすくなる「仮名化」の導入も検討されていますが、自分の個人情報が消去できる「忘れられる権利」の導入は見送られる方向です。

また、コンプライアンスにかかわる罰則や罰金の強化などが盛り込まれる可能性もあるため、事業者にとって今後の動向に注視していかなければならい状況にあるといえるでしょう。

 

「利用停止権」の導入で事業者に迫られる対応とは?


現在の個人情報保護法において利用停止が認められるのは、個人情報の取得方法に不正が見られるときや、本来の目的以外に使用された場合に限られています。しかし、相談ダイヤルへの相談やタウンミーティングの議論でも、自分の個人情報を事業者が削除・利用停止しないことへの不満が消費者から多く寄せられているようです。事業者から提出を求められた書類の種類や内容が必要な範囲を超えているなど、削除・利用停止の手続に関する不満も少なくありません。

 

一方で、プライバシーマークの審査基準の根拠となる「JIS Q 15001」では、事業者は利用停止の要求に応じることが義務づけられています。このように相違点が浮き彫りになっている現状を踏まえると、今回の改正案で無条件に利用停止できる権利が新たに追加される公算は大きいでしょう。そうなった場合、事業者が取り組むようになる負担も軽視できません。事業者側で利用停止の相談窓口を設けることや、利用停止を自動化する仕組みづくりなどの対応に迫られる可能性があります。

 

いずれにせよ、個人情報の利用停止については、個人の権利の範囲を広げる方向で、事業者の実態も踏まえつつ具体的に検討されることになっています。

 

匿名加工情報から、データが活用しやすくなる「仮名化」へ


現行法には、事業者間のデータ取引や連携など、個人データの活用促進を目的に導入されている「匿名加工情報」という制度があります。匿名加工情報とは、個人情報のデータを個人が特定できないように加工し、復元不可能な状態にしたデータのことです。特定できない情報は個人情報として該当しないため、活用する上での規制はありません。そのため、活用の動向調査では、平成30年度末時点で約380社の事業者が匿名加工情報の作成・提供を公表しており、ヘルスケア分野など様々な業種において活用が進みつつあるようです。

 

しかし、中間整理の企業アンケートでは、利用方法が分からなかったり、自社データへのニーズが不透明だったり、分析するための人材も確保できないなど、匿名加工情報を有効に活用できていない事業者も多くみられます。

このような状況を踏まえ、改正ポイントとして検討されているのが、EUなど国際的にも活用が進みつつある「仮名化」です。仮名化とは、追加的な情報の利用なしには個人を特定できない個人データのことです。氏名、住所、電話番号といった個人情報を別の形に置き換えながらも、追加的な情報があれば復元できる状態なので個人情報として扱われます。

 

仮名化されたデータは、有効な個人情報でありつつ取り扱いが容易なため、匿名加工情報から一歩進んで活用する事業者の広がりが予測されます。今後は具体的なニーズなど国際的な動向に合わせて、改正案として取り上げられるが可能性が高まるでしょう。

 

個人データを扱うインターネット広告も見直しに

インターネット広告をビジネスとして活用している事業者では、ユーザーの閲覧履歴や登録情報などを基に特定の広告を表示する「ターゲティング広告」が浸透しつつあります。

 

ターゲティング広告は、事業者にとって有益な手法であるとともに、ユーザーにも興味や関心のある情報に接することができる点がメリットです。その一方で、ユーザーの知らないあいだに個人データが収集され、解析、利用されるリスクがあるため、プライバシーに対する懸念が指摘されています。

 

見直しの方向は、業界団体が自主ルールを作成するなどして、ユーザーに対して透明性のある適切な運用を行うことがポイントです。

 

日本インタラクティブ広告協会(JIAA)では、インターネット広告ビジネスのために取得される個人関連情報の取り扱いに関して、「プライバシーポリシーガイドライン」及び「行動ターゲティング広告ガイドライン」を策定し、技術の進展やビジネスの変化に応じて、事業者に対して継続的な見直しを促進しています。

 

また、サーバー上でユーザーの管理・識別に利用される「クッキー」も、今後は慎重に検討する必要があるとされています。GDPRでは既に規制対象となっていますが、クッキーには個人を特定できるデータも含まれているため、個人情報保護法の観点から個別に規律される方向のようです。

事業者に課されるペナルティについて


現行の個人情報保護法では、個人情報を取り扱う事業者に課されるペナルティは、最大で1年以下の懲役または50万円以下の罰金と規定されています。国際的にはペナルティの強化が大きな潮流となっており、欧州と比較すると日本のペナルティは罰則が緩く、実効性が不十分という意見も少なくありません。

 

そのため、実態や法体系に照らして、罰則の望ましい在り方が見直されていくと予測されます。しかし、過度なペナルティ強化は事業者の萎縮を招き、消費者が有益なサービスやメリットを得られなくなる可能性もあることから、慎重に検討する必要があるでしょう。

改正のポイントを踏まえ、事業者としての取り組みを整理しよう!


個人情報保護を巡る問題は、個人情報を取り扱う事業者として決して無関心で済まされません。個人の権利が守られることへの対応は、消費者の便益はもちろん、事業者のビジネスにも大きく影響するものです。

 
諸外国におけるGDPRの運用はまだ手さぐりの部分もありますが、日本では2020年の改正がもう目に前に迫ってきています。改正のポイントを踏まえ、事業者としての心構えや準備すべきことを今から整えていきましょう。