個人情報保護法の改正案にみる個人データ管理への影響

2020年3月10日に、個人情報保護法の改正案が閣議決定されました。今後、国会に提出・審議される予定です。
（個人情報保護委員会　「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について）

個人情報保護委員会が公表している概要をもとに、改正案について個人データ管理の観点からポイントをご紹介します。

個人データの開示請求と開示方法（第28条）
改正案では、保有個人データの開示方法について「電磁的記録の提供を含め本人が指示できるようにする」とされました。また、第三者提供の記録についても開示請求できることとされました。
今後、企業は、個人データの開示請求について応じるだけでなく、本人から指示があった場合に電子データの形で開示できる仕組みを整備する必要があるといえるでしょう。また、第三者提供を行っている場合は、その記録を確実に保持し、請求があった場合に開示できる仕組みが求められます。

利用停止・消去等の個人の請求権に関する要件の緩和（第30条など）
改正案では、これらについて「個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する」とされました。
2020年1月に公表された大綱では「個人データの利用の停止・消去・第三者への提供の停止についての請求があった場合には原則としてこれに応じなければならない（請求に応じないことは例外措置）」とされていたことから、要求に応じなければならないケースについて一定の条件が付けられた形となっているものの、利用停止・消去等の請求に応じる必要がある場合の仕組みについて検討・整備の必要があるといえるでしょう。

6ヶ月以内に消去する短期保存データを開示・利用停止等の対象に（第2条）
このため、6ヶ月以内に消去する個人データであっても、開示や利用停止の請求に対応できる管理体制が求められます。

第三者提供の制限（第26条2項など）
「提供元では個人データに該当しないものの提供先において個人データとなることが想定される情報」の第三者提供について、本人の同意が得られていること等の確認を義務付けるとされました。
これにより、特にCookie情報を利用する際に影響があるものと思われます。Cookieの利用に際して本人の同意を取得し同意の状態を記録・保管する体制の整備が必要といえるでしょう。

オプトアウト規制の強化（第23条）
「不正取得された個人データ」および「オプトアウト規定により提供された個人データ」が、「オプトアウト規定により第三者に提供できる個人データ」の対象外とされました。個人データの入手経緯を確実に記録していくとともに、本人からの第三者提供の停止の請求に対応する仕組みの必要性が高まったといえるでしょう。

今回の改正案も、基本的に「中間整理」や「大綱」の流れを基本的に踏襲したものとなっています。個人データの利用停止・消去等の個人の請求権に関する要件の緩和については一定の条件付きとなっていますが、EUで施行されている一般データ保護規則（GDPR）を端緒とするグローバルのプライバシー法規制のトレンドや消費者のプライバシーに関する意識の高まりを考慮すると、本人からの請求があった場合に確実に対応できる体制を整備する必要性があるのではないでしょうか。
過去のコラムでも言及しましたように、個人データの開示請求や利用停止などの要求に対応するためには、どの個人のどのような情報を、どのシステムで、どのように利用しているのかを把握・理解する必要があります。そのうえで、当該個人からの利用停止要求の内容を的確に把握し、速やかに利用を停止するための機能を持つ必要があります。
（参考: 個人情報保護法の改正原案に盛り込まれた「開示請求権」と「利用停止権」がもたらすインパクト）
（参考: 2020年の個人情報保護法見直しの「制度改正大綱」が公表 - 個人データの管理・利用に関わる論点の整理）

また、Cookieの利用については各国の法規制ばかりでなくApple社などのテクノロジーベンダも厳格化の方向性を打ち出しており、Cookieの使用に関する同意の取得・管理や、Cookieに代わるテクノロジーの模索など、包括的なアプローチを検討・構築していく必要性が増しているといえるでしょう。
（参考: 「グローバルで厳しさを増すCookieをめぐる環境、それに代わる新たなアプローチとは」）

これらの要請に対応するうえで、GDPRなど同様の規制を有するグローバルのプライバシー法制度対応において豊富な実績を有する SAP Customer Data Cloud from GIGYA は大きなアドバンテージを有しています。
SAP Customer Data Cloud from GIGYAは、単一のカスタマー・プロフィールにユーザーの個人データ、「同意」に関するデータ、プリファレンスに関する様々なデータを格納し、これらのデータを「シングル・カスタマー・ビュー」として一元的に管理したうえで、マーケティング・オートメーションなどの他システムに反映させる優れた機能を有しています。
また、セルフサービス型のプリファレンス・センターを提供する機能を提供します。このプリファレンス・センターにおいて、ユーザーが自身の操作で個人データを閲覧、デジタル形式でダウンロードできるだけでなく、自身の個人データの利用停止・消去をいつでもリクエストできる機能を提供することが出来ます。
さらに、このプリファレンス・センターにおいては、ユーザーがどのような利用目的に対して個人情報の利用について「同意」しているかを確認したうえで、場合によってはその「同意」を撤回する操作を行うことも可能です。
ユーザーの操作により個人データの利用の停止や消去、「同意」が撤回された場合には、SAP Customer Data Cloud from GIGYAは接続されているシステムに対してそのことを反映させます。

セルフサービスの機能により、いつでもユーザーからの開示要求や利用停止要求に対応できることは、これらの要求に対してコールセンターなどで受け付けマニュアル・オペレーションで対応することに比べて、大きなコストメリットにつながるだけでなく、顧客体験の点においても大きなメリットとなることが期待できます。

2020年の個人情報保護法の見直しを前に、自社の個人データ管理の在り方について再検討する必要性が高まっているといえるでしょう。