2020年個人情報保護法改正がプライバシーポリシーに与える影響

個人情報保護法の令和2年改正に伴うプライバシーポリシー改定のポイントをまとめました。これに伴い、顧客情報データベースの見直しも必要になります。

2020年個人情報保護法改正によって必要になるプライバシーポリシー見直し

2020年3月に通常国会に提出された個人情報保護法改正案が、6月5日に可決成立し、12日に公布されました。

利用目的規制を緩和した「仮名加工情報」を新設するなど、個人情報の利活用を促進するための変更が加えられた一方で、後述する「個人関連情報」の第三者提供に関する規律が新設され、記録開示義務やペナルティも強化されるなど、アメとムチのメリハリをさらに利かせる改正となりました。

2020年7月時点でまだ発表されていない委員会規則やガイドラインを待たなければ確定しない点もありますが、特にSaaS・ウェブサービスにおける適正な個人情報利用という観点から、プライバシーポリシーとその同意取得に関し、事業者として見直しておきたい点を先取りして整理してみたいと思います。

SaaS・ウェブサービスにおけるプラポリ見直しの主なポイント

プライバシーポリシーの具体的文言の変更や、それに伴う同意の取得が問題となる主な論点は、大きく以下3つに集約されると考えます。

（1）保有個人データの「利用」に関する透明性の担保

今回の改正では、これまでの個人データの不正な「取得」に対する規制に加え、不正な「利用」を防止するための規制強化が施されています（改正法16条の2）。これに関連して、プライバシーポリシーの記述に直接関わる改正点として、

1. 個人情報取扱事業者の氏名または名称に加えて住所・法人代表者氏名
2. 個人情報の取扱体制や講じている措置の内容
3. 保有個人データの処理の方法等

の開示・公表義務が追加されました（改正大綱および27条）。

1は事務的ですがほとんどの企業において改定が必要となります。2・3については現状参考にすべきお手本もない中、JIPDEC主催セミナーで牛島総合法律事務所影島弁護士が以下例を示されており、参考になります。

「処理の方法」の記載が求められることにより、抽象的な利用目的を箇条書きで列挙するだけの従来型プラポリではユーザーの納得が得られないばかりか、法的にも通用しなくなることは間違いなさそうです。

（2）開示請求・利用停止請求におけるユーザー主導権の明確化

保有個人データの開示請求手続きについて、これまでは書面での開示が原則だったところ、電子ファイルでの提供を含めユーザーが事業者に開示方法を指示できることとなりました（改正法28条第1項から3項）。加えて、第三者提供を行った記録が開示請求の範囲に加わり、ユーザー目線からのトレーサビリティが強化されています（改正法28条5項）。

また、事業者が保有個人データを利用する必要がなくなった場合に、ユーザーが事業者に対し利用停止を請求することができるようにもなります（改正法30条）。

このように個人情報の主体となる個人の請求権が強化されれば、実際の開示・利用停止が行われる頻度が増えることも予想されます。実務が混乱しないためにも、ユーザーが請求できることの範囲や選択肢について、積極的にプライバシーポリシー上で明示し交通整理を図るべきでしょう。プラポリ記載の修正もさることながら、請求とその対応を漏らさず行うための仕組み化も必要となります。

（3）個人関連情報の第三者提供についての同意取得と情報提供

今回の法改正で、DMP（Data Management Platform）を利用したターゲティング広告などで用いられるCookie等の識別子に紐付けられた閲覧履歴や趣味嗜好などのデータが、新たに「個人関連情報」として法文に定義されました（改正法26条の2）。

この個人関連情報がDMP等の第三者に提供され、さらにその第三者がCookieシンク等を行い個人データと紐づけることが「想定」される場合には、事業者は、本人からあらかじめ同意を取得しておかなければなりません（改正法26条の2第1項1号）。改正法施行後もターゲティング広告等を行う場合、実務上、ユーザーにこの同意を求める文言をプライバシーポリシーに織り込んでおく必要が出てきます。

この点に関し、TMI総合法律事務所 白石・野呂・柿山弁護士によるウェビナー解説によれば、ウェブサイト等でこの同意を取得する場合には、サイト上のボタンをクリックする方法等が必要となるとの見解（参議院内閣委員会13号令和2年6月4日其田真理委員発言）が紹介されていました。

さらに、個人関連情報の提供先が外国企業となる場合、その外国における個人情報保護法制や、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を提供する義務が新設されています（改正法26条の2第1項2号）。

どこまでの詳細な情報を記載すべきか？こちらも規則やガイドラインの例示が待たれるところですが、外国法の解説を読みやすさや短さも求められるプラポリの中で提供することが困難なのは想像に難くありません。結果的に、個人関連情報の提供先が米国・EUなど法制度が安定した国の大手IT企業に絞られることになりそうです。

プラポリ変更以上に顧客管理データベースの見直しが急務に

以上、個人情報保護法の令和2年改正がプライバシーポリシーとその同意取得プロセスに及ぼす影響のうち、主なものを挙げてみました。

プライバシーポリシーの改定作業も重たい仕事になりますが、それと並行して求められるのが、ユーザーごとの同意の有無、トレーサビリティを担保するための情報の入出力記録、利用しなくなった情報の削除等をもれなく管理できる顧客管理データベースの構築が必要となる点です。

これまでのSaaS・ウェブサービス企業の顧客情報や同意ステータス管理といえば、ユーザーが会員登録を行った日付がデータベースに記録され、それ以降のプラポリ改定についてはみなし規定で同意したものとするなど、全ユーザー一律の画一的な管理にとどまっている実態があると思います。

本改正法が施行される2年後までに、同意管理プラットフォーム（Consent Management Platform）との連携も含めた、ユーザー情報と個別同意の紐付け、そしてライフサイクル管理が可能な精緻なデータベース構築が本格的に求められていくことになりそうです。

画像：Rawpixel / PIXTA(ピクスタ), fultaro / PIXTA(ピクスタ), Rawpixel / PIXTA(ピクスタ)

（橋詰）