2020/01/15

プライバシー・法規制

2020年の個人情報保護法見直しの「制度改正大綱」が公表 - 個人データの管理・利用に関わる論点の整理

2020年に予定される個人情報保護法の見直しに際して、指針ともいえる制度改正大綱が公表されました。今後、意見募集を経て法案として審議される運びと予想されます。
(個人情報保護委員会 「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」の公表及び同大綱に対する意見募集」

制度改正大綱に盛り込まれた論点のうち、特に個人データの管理・利用に関わる論点について取り上げます。

利用停止、消去、第三者提供の停止の請求に係る要件の緩和
大綱では「事業者の負担も考慮しつつ保有個人データに関する本人の関与を強化する観点から、個人の権利利益の侵害がある場合を念頭に、保有個人データの利用停止・消去の請求、第三者提供の停止の請求に係る要件を緩和し、個人の権利の範囲を広げることとする。ただし、事業者の負担軽減等の観点から、利用停止・消去又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わる措置を取る場合は、請求に応じないことを例外的に許容することとする。」とされました。
改正法の施行後は、ユーザーから個人データの利用の停止・消去・第三者への提供の停止についての請求があった場合には原則としてこれに応じなければならない(請求に応じないことは例外措置)こととなるものと考えられます。

開示請求の充実
大綱では、「(1)適正な運用に向けた取組の強化」において「引き続き事業者の対応状況を注視するとともに、企業に対して制度の周知に引き続き努めることとする。」とされています。条文の見直しにまでは踏み込まないものの、個人情報保護委員会としては開示請求に応じるべきという姿勢を強めており、精度の運用を強めていくことが予想されます。
また、「(2)開示のデジタル化の推進」という項目を設け、「本人が、電磁的記録の提供を含め、開示方法を指示できるようにし、請求を受けた個人情報取扱事業者は、原則として、本人が指示した方法により開示するよう義務付けることとする。」としています。単に開示請求に応じるだけでなく、可能な限りデジタルデータ形式により開示するよう方向付けを行ったものと考えられます。

オプトアウト規制の強化
大綱では、「(2)オプトアウトの対象となる個人データの限定」において、「オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していく」としました。
NTTドコモやヤフーなどが既に取り組みを始めている「個人データの第三者提供に関する同意の管理」に類する機能を持つことが必要になることも予想されます。
(参考: 「ドコモやヤフーが取り組む、データ提供への「同意」管理とは」

この他に、昨今大きな議論となっているCookieの利用について、大綱では「第4節 データ利活用に関する施策の在り方」の「4.端末識別子等の取扱い」中の「(3)提供先において個人データとなる情報の取扱い」において、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。」という文言を盛り込んでいます。
具体的にどのようなケースにおいて本人の同意が必要となるのかについては今後の議論の推移をみていく必要がありますが、Cookieの利用については各国の法規制ばかりでなくApple社などのテクノロジーベンダも厳格化の方向性を打ち出しており、Cookieの使用に関する同意の取得・管理や、Cookieに代わるテクノロジーの模索など、包括的なアプローチを検討・構築していく必要性が増しているといえるでしょう。
(参考: 「グローバルで厳しさを増すCookieをめぐる環境、それに代わる新たなアプローチとは」

今回の制度改正大綱は、2019年4月に公表された「中間整理」を基本的に踏襲しつつ、その後に問題化した事例などを踏まえた項目を追加したものといえるでしょう。以前の記事において、個人データの開示請求や利用停止などの要求への対応として「利用停止への対応については、まずどの個人のどのような情報を、どのシステムで、どのように利用しているのかを把握・理解する必要があるでしょう。そのうえで、当該個人からの利用停止要求の内容を的確に把握し、速やかに利用を停止するための機能を持つ必要があります。」としたところですが、この内容は今回の制度改正大綱を考えるうえでも有効と考えます。

これらの要請に対応するうえで、GDPRなど同様の規制を有するグローバルのプライバシー法制度対応において豊富な実績を有する SAP Customer Data Cloud は大きなアドバンテージを有しています。
SAP Customer Data Cloudは、単一のカスタマー・プロフィールにユーザーの個人データ、「同意」に関するデータ、プリファレンスに関する様々なデータを格納し、これらのデータを「シングル・カスタマー・ビュー」として一元的に管理したうえで、マーケティング・オートメーションなどの他システムに反映させる優れた機能を有しています。

また、セルフサービス型のプリファレンス・センターを提供する機能を提供します。このプリファレンス・センターにおいて、ユーザーが自身の操作で個人データを閲覧、デジタル形式でダウンロードできるだけでなく、自身の個人データの利用停止・消去をいつでもリクエストできる機能を提供することが出来ます。
さらに、このプリファレンス・センターにおいては、ユーザーがどのような利用目的に対して個人情報の利用について「同意」しているかを確認したうえで、場合によってはその「同意」を撤回する操作を行うことも可能です。
ユーザーの操作により個人データの利用の停止や消去、「同意」が撤回された場合には、SAP Customer Data Cloudは接続されているシステムに対してそのことを反映させます。

セルフサービスの機能により、いつでもユーザーからの開示要求や利用停止要求に対応できることは、これらの要求に対してコールセンターなどで受け付けマニュアル・オペレーションで対応することに比べて、大きなコストメリットにつながるだけでなく、顧客体験の点においても大きなメリットとなることが期待できます。

2020年の個人情報保護法の見直しを前に、自社の個人データ管理の在り方について再検討する必要性が高まっているといえるでしょう。

資料ダウンロード

GDPR対応を成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応を成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「カスタマー・アイデンティティ・マネジメント(CIM)」がそれらをどのように解決するかについて解説します。