2019/09/25

【カスタマー・アイデンティティ市場動向】

変わりつつある個人情報保護法制度に企業はどう対応すべきか(後編)

前編では、米国や日本などグローバルの個人情報保護法制度のあり方を巡る議論に大きな影響を与えているEUの一般データ保護規則(GDPR)について解説しました。今回は、2020年に予定されている日本の個人情報保護法の改正の方向性について解説します。
(2019年6月時点の内容に基づいています。)

「改正個人情報保護法」の施行(2017年5月)

日本では、2017年5月に「改正個人情報保護法」(改正法)が施行されました。
改正法の主なポイントとして以下が挙げられます。

「個人識別符号」の定義化 - 顧客の移動履歴や購買履歴も個人情報に

改正法では、新たに「個人識別符号」が個人情報の対象に加えられました。「個人識別符号」に該当するものとして、具体的には指紋データや顔認識データ、旅券番号、免許証番号などが挙がっています。さらに、移動履歴や購買履歴といったデータも「他の情報と容易に照合できることで特定の個人を識別できる」場合、個人情報として取り扱うことが求められます。

ビッグデータとしての「匿名加工情報」

ビッグデータ時代への対応として、個人情報に該当しないようにデータを加工して「匿名化」することで、個人のプライバシーを保護した上での利活用が可能になる「匿名加工情報」が定義されました。

個人情報の不正な流通の予防や状況を把握するための記録の義務化

個人情報の第三者への提供に際して、日付や提供先に関する記録の作成・保管が義務化されます。個人情報を受け取る側の企業にも、提供者の情報やデータ取得の経緯といった確認記録の作成・保管が求められます。さらに、個人情報の意図しない流通を予防する罰則規定として「個人情報データベース提供罪」を新設しています。

データが国境を越える場合の規制

近年顕著となっているビジネス活動のボーダーレス化やクラウドに代表される外部データプラットフォームの利用などで、国境を越えて個人情報が流通する例が増えています。具体的には、海外企業による日本国内の個人情報の取得や、国内の企業が個人情報の取得や処理を外国の事業者に委託するなどといったケースが考えられます。
こうした「個人情報の海外移転」について、改正法では原則、海外の第三者に顧客の個人情報を提供する旨の開示と、その提供についての同意の取得を求めています。

「個人情報の保護に関する法律についてのガイドライン」の改訂(2018年12月)

2018年12月には、「個人情報の保護に関する法律についてのガイドライン」(「ガイドライン」)が改訂されました。特に、個人情報の開示請求を受けた場合の対応について、『なお、「著しい支障を及ぼすおそれ」に該当する場合とは、個人情報取扱事業者の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定され、単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しない。』という説明が加えられています。

この改訂は、以前から指摘されていた、企業が保有する個人情報の開示請求への対応が消極的であるとする声に対応するものと考えられます。
(関連記事: グローバルの基準に近づく日本の個人情報保護のあり方 - 顧客ID統合の重要性と、その実現のために

個人情報保護法改正に向けた原案の公表(2019年4月)

さらに、2020年に向けて検討を進めている個人情報保護法の改正に向けた原案が2019年4月に公表されました。この原案では「個人情報に関する権利の在り方」として、「開示請求に関する状況」と「利用停止に関する状況」の項目を設けています。今回の改正において、個人情報を収集・管理する企業に以下が求められる可能性が高いといえるでしょう。

  • ・ 消費者から自身の個人情報について開示するよう求められた場合に、デジタル形式での開示も含めて対応すること
  • ・ 消費者から自身の個人情報の利用を停止するよう求められた場合に、利用を停止するよう対応すること

(関連記事: 個人情報保護法の改正原案に盛り込まれた「開示請求権」と「利用停止権」がもたらすインパクト

今後の個人情報管理システムのあり方

このようにみていくと、GDPRが打ち出した「個人による、自身の個人情報に対する制御権の確保」と「個人情報の収集・利用に際しての個人による明示的な同意(Consent)の取得と管理」という原則が、日本の個人情報保護法に対しても影響を与え始めている、といえるでしょう。このトレンドの中で、今後の個人情報管理システムについても、GDPRをはじめとするグローバルのベストプラクティスを取り入れていく必要性が高まっていくのではないでしょうか。

SAP Customer Data Cloud は、GDPRへの対応を求められたグローバル企業において多くの採用実績を有しています。

  • ・ 複数のタッチポイントで収集する個人情報を顧客一人ひとりに正しくひも付けて管理する「シングル・カスタマー・ビュー」の構築
  • ・ 利用規約やプライバシーポリシー、マーケティング・コミュニケーションへの「同意」を正しく取得し、そのバージョンも含めて「シングル・カスタマー・ビュー」にひも付ける同意管理機能
  • ・ 自身の個人情報や「同意」の状況をいつでも確認・修正・撤回・削除できるプリファレンス・センター機能
  • ・ 「シングル・カスタマー・ビュー」内で管理する、「同意」を含む個人情報をCRMやMAなど個人情報を利用するシステムに正しく反映するシステム間データ連携機能

GDPR対応で多くの実績を有するこれらの機能は、日本における今後の個人情報管理においても有効なソリューションとなるでしょう。

GDPR対応を成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応を成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「カスタマー・アイデンティティ・マネジメント(CIM)」がそれらをどのように解決するかについて解説します。

お問い合わせ

顧客ID統合、GDPR等のプライバシー法規制への対応を実現するGIGYA。サービス内容や導入事例など、お問合せはお気軽に。