いまさら聞けない、改正個人情報保護法のキホン

 2021.07.30  石山 大揮

※2021年11月8日更新

 最近、よく話題になるのが、インターネット広告のプライバシー保護に関連するニュースです。インターネット上のプライバシー保護については、EUやアメリカが先行して取り組んでいましたが、2022年4月1日、日本でも改正個人情報保護法が施行され、いよいよ日本にもその波がやってきます。

 そこで今回は、「そもそも個人情報保護法ってどんな法律だっけ?」「話題になっているけど、全然キャッチアップできてない、、」という皆様に向けて、改めて改正個人情報保護法とは何なのか、ご紹介します。

世界における個人情報保護規制の動向

 2018年、インターネット上におけるプライバシーへの懸念から、EUでGDPR(EU一般データ保護規則)が施行されました。その内容は従来のEUデータ保護指令よりもさらに厳格化されており、IPアドレスやCookieなどのオンライン識別子もパーソナルデータに含まれる、と規定されました。また、その活用に際して、企業はユーザーから明示的な同意を取得することが求められることとなりました。

 そのGDPRを1つのきっかけとして、世界各国でプライバシーに関する議論がさらに活発化することとなり、2020年にはアメリカのカリフォルニア州においても、CCPA(消費者プライバシー法)という独自の法律が施行されました。その他、ブラジルやタイなど世界各国においても同様の法律が相次いで検討・施行されています。

 上記のような法的規制とは別の文脈として、Apple社やGoogle社による3rd Party Cookieの利用制限など、プラットフォーマーによる技術的な規制も同時に進んでいますが、本記事ではあくまで法的規制に絞って話を進めていきます。

個人情報保護規制に関する世界の動向を示した世界地図

※参考:デジタルマーケティング用語集

 

日本における個人情報保護規制-個人情報保護法とは

 日本においても、個人情報保護に関する関心の高まりから、2005年に個人情報保護法(正式には「個人情報の保護に関する法律」)が施行されました。個人情報保護法は、人の権利・利益の保護と個人情報の有用性とのバランスを図るため、個人情報を取り扱う事業者及び行政機関等の遵守すべき義務等を定めた法律です。

 昨今のインターネットの発展とそれに伴う企業のデータ活用の広がりから、個人情報を取り巻く環境は大きく変化してきました。先述のように、海外の法律も時代に合わせてその内容を大きく変化させています。

 そのため現在、個人情報保護法では、その改正法附則において3年ごとの見直しが求められています。個人情報保護に関する国際的な動向、情報通信技術の進展、それに伴う新たな産業の創出などを勘案し、必要性が認められた場合に見直しが行われます。

 こうした流れを受けて、2017年には第1回の個人情報保護法改正が行われました。そして2020年6月に第2回の改正個人情報保護法が公布され、2022年4月の施行にむけて準備が進められている状況です。

日本の個人情報保護法のこれまでの改正の流れを示した図

※参考:デジタルマーケティング用語集

日本のプライバシー保護規制の構造

 日本では個人情報保護法の他に、各業界でユーザーのプライバシーを保護するためのガイドラインが定められています。例えば、広告業界ではJIAA(日本インタラクティブ広告協会)が定めたJIAAガイドラインがあり、プライバシーポリシーや行動ターゲティング広告について、運用のルールを定めています。

 つまり、日本において企業は、まず個人情報保護法による規制を正しく理解すること、次いで法律以外の業界自主規制として各種ガイドラインが存在するという2つの構造を理解することが重要になります。

日本のプライバシー保護規制の構造

改正個人情報保護法の施行日

 2020年6月12日に公布された改正個人情報保護法は、2022年4月1日に施行されることが決定しています。(※2021年11月8日更新時点)

 現在はガイドライン案に対するパブリックコメントの受付などが終了し、来年の施行に向けてQ&Aの更新、広報が行われています。各企業はガイドラインやQ&Aに記載された内容をベースに、自社の個人情報保護ポリシーに見直しが必要な箇所はないか、社内で検討されることをおススメします。

改正個人情報保護法が注目される理由

 施行が間近に迫る改正個人情報保護法ですが、2020年6月の公布の際には、海外の法律や、Apple社やGoogle社による技術的規制の流れを受けて、日本でもプライバシー保護規制が厳しくなるのではないかという憶測から、大きな注目を集めました。

 特に、Cookieなどのオンライン識別子の取扱いが注目されています。GDPRでは、オンライン識別子もパーソナルデータに含まれていますが、日本では個人情報の中にオンライン識別子は含まれていませんでした。これは改正個人情報保護法でも引き続き個人情報には含まれていませんが、活用の方法によっては法規制の対象となりますので、企業はその影響について正しく理解し、体制を整備する必要があります。この点については、以下の記事で詳しく説明していますので、ぜひご覧ください。

>>【ブログ】改正個人情報保護法の重要ポイントを解説!

 また、法人に対する罰金額も注目を集める要因となりました。個人情報取扱事業者が個人情報保護委員会からの勧告や命令に従わなかった場合や、個人情報データベース等を不正に提供・盗用した場合は、1億円以下の罰金刑が科されることとなります。従来、法人に対する罰金に関する規定はなかったため、その罰金額の大きさから、違反企業は経営的にも大きな影響を受けることとなりました。このため、企業は個人情報保護法の遵守に関して、従業員の教育や監督を十分に行っていくことが求められています。

まとめ

 いかがでしたでしょうか?最近世間を騒がせている改正個人情報保護法ですが、今回は基本編ということで、以下のポイントについてお話をさせて頂きました。

・個人情報保護法が改正される理由
・改正個人情報保護法のタイムライン
・改正個人情報保護法が注目されている理由

 次の記事では、もう少し具体的な法改正の内容について解説しつつ、企業のマーケティング実務への影響についても触れていますので、ぜひご確認ください!

次の記事へ >> 改正個人情報保護法の重要ポイントを解説!

お問い合わせはこちら

関連ページ

この記事の執筆者

石山 大揮

2021 年に DAC へ新卒で入社し、企業が持つ顧客 CRM データの活用に伴うプライバシー保護にまつわるコンサルティングやデータ分析やモデル構築のサポート、CDP の営業を担当。企業に対してデータを基軸とした一気通貫の支援を行っている。

2021 年に DAC へ新卒で入社し、企業が持つ顧客 ...

RELATED ARTICLES関連記事


データプライバシーコンサルティングサービス ご紹介資料
この記事が気に入ったらいいねしよう!