本文にスキップする

2022年の改正個人情報保護法とは?を分かりやすく解説!企業のマーケティングに与える影響や対応方法まとめ

本記事では、2022年4月に施行される個人情報保護法の改正の7つのポイントで分かりやすく解説していきます。

目次
閉じる

■2022年4月に施行される個人情報保護法の改正のポイント

  1. 個人情報を提供する本人の権利保護の強化
  2. 事業者の個人情報管理における責務を追加
  3. 認定団体制度の新設
  4. 保有個人データの利活用の在り方
  5. 改正個人情報保護法への違反に対するペナルティ強化
  6. 外国の事業者に対して報告徴収や立入検査などの罰則を追加
  7. 外国にデータを越境移転する際の情報提供の充実

その後、改正個人情報保護法のポイントを踏まえ、企業のマーケティングにおける対応のポイントを以下の7つにまとめましたので、ぜひ参考にしてください。

■企業における対応のポイント

  1. サードパーティCookieなど個人関連情報の利用状況や提供先の確認
  2. ターゲティング広告を利用するならCMPツールの導入
  3. 個人情報漏えい時の報告や本人通知の手順
  4. 外国の第三者へ提供時の個人情報取り扱い
  5. 安全管理措置
  6. 個人情報開示請求に対する備え
  7. 個人情報の不適正な利用がないか
  8. プライバシーポリシーの改訂

改正個人情報保護法とは?

個人情報保護法

改正個人情報保護法とは、個人情報保護委員会によって3年ごとに見直しされ、その結果を踏まえて個人情報保護法の改正を行なったものです。

日本における個人情報保護法は、2003年(平成15年) に成立しました。
インターネットと通したグローバルなデジタル社会の形成を図るべく、改正が繰り返されています。

今回の個人情報保護法の改正は、GDPR(EU一般データ保護規則)など国際的動向を踏まえ、日本国内における、新しい個人情報のスタンダードな在り方を定めた法律になっています。

「改正個人情報保護法とGDPRの違い」についてもっと詳しく知りたい方はこちら

ここからは、2022年月から施行される個人情報保護法の6つのポイントをまとめていきます。

【改正ポイント①】個人情報を提供する本人の権利保護の強化

open book

2022年4月から施行される個人情報保護法の改正に伴い、本人の権利保護が強化されたのは以下4点になります。

  • 短期保有データ(6か月以内に消去するデータ)を個人データが対象になる
  • 保有個人データの開示請求をデジタル化対応を義務化
  • 保有個人データの利用停止や消去請求権、第三者への提供禁止請求権の緩和
  • 保有個人データの授受について第三者提供記録の開示請求権

・短期保有データ(6か月以内に消去するデータ)を個人データが対象になる

改正前は、「6ヶ月以内に消去する短期保存データは保有個人データに含まれない」でしたが、短期間で消去する場合でも、個人情報が漏えいリスクがあることから、改正個人情報保護法では「6ヶ月以内に消去する短期保存データも保有個人データに含まれる」ようになりました。

・保有個人データの開示請求をデジタル化対応を義務化

改正前では、個人情報の取り扱いをしている事業者からの保有個人データの開示は、「原則として書面の交付によって行われるもの」とされていましたが、改正後は「開示方法を電磁的記録による方法など、開示方法の指定」ができるようになりました。
これは、情報量が多い場合などは書面での交付が困難であるため、利便性の向上も含めて改正されました。

・保有個人データの利用停止や消去請求権、第三者への提供禁止請求権の緩和

個人情報の利活用における利用停止や消去請求ができるのは、以下に絞られていました。

■旧法での利用停止や消去請求が可能な条件

  • 個人情報を目的以外で利用した場合
  • 不正の手段で保有個人データを取得した場合

■旧法での第三者への提供禁止請求が可能な条件

  • 本人の同意なく第三者に提供した場合
  • 本人の同意なく外国にある第三者に提供した場合

改正後では、上記に加え、以下の3つの条件で個人情報の利活用における利用停止や消去請求ができるようになりました。

■改正後に追加される条件

  • 保有個人データを利用する必要がなくなった場合
  • 保有個人データの漏えいがあった場合
  • 保有個人データの取り扱いで、本人の権利利益が害される可能性がある場合

・保有個人データの授受について第三者提供記録の開示請求権

第三者提供記録とは、個人データを第三者へ提供する側と受ける側の両方が作成しなければならない、法令で定められた記録のことです。
今までは、この「第三者提供記録」は本人による開示の対象ではありませんでしたが、改正によって「第三者提供記録」が本人の開示請求の対象になりました。

ここからは、事業者に対する個人情報の管理における責務の追加ポイントをまとめていきます。

【改正ポイント②】事業者の個人情報管理における責務を追加

businessman hand pointing to padlock on touch screen computer as Internet security online business concept

今回、事業者の責務として追加されたのは2つ。

■追加された事業者の責務

  • 個人情報漏えい等があった場合の報告義務
  • 個人情報の不適正な利用の禁止

・個人情報漏えい等があった場合の報告義務

改正前は個人情報取扱事業者に報告や通知の義務はありませんでした。しかし、改正によって個人情報取扱事業者は、個人情報漏えい等があった場合に、個人情報保護委員会への報告と本人への通知の2つが義務となりました。
漏えい等報告の受付けはこちら
※本人へ通知する際には、メール・文書が望ましく、不可能な場合は、ホームページ
等での公表などが必要。

■個人の権利利益を害するおそれがあるときに該当する事態

  1. 要配慮個人情報が含まれる事態
  2. 財産的被害が生じるおそれがある事態
  3. 不正の目的をもって行われた漏えい等が発生した事態
  4. 1,000人を超える漏えい等が発生した事態

■個人情報保護委員会への漏えい等報告のステップ

  • 速報:3~5日以内に現状の情報を報告
  • 確報:30日以内にすべての報告(※不正アクセスの場合は60日)

・個人情報の不適正な利用の禁止

個人情報の不正な利用に関して、改正前は禁止が明文化されておらず、旧個人情報保護法の規定を違反していなくても、不当な方法で情報を取得したり、利用をするといった事例が発生しました。
この対策として、違法や不当な方法で個人情報を取得したり利用したりすることが明文化され禁止されました。

【改正ポイント③】認定団体制度の新設

double exposure of businessman hand showing texture the world concept and social network diagram Elements of this image furnished by NASA london city background

認定団体制度とは、個人情報を個人情報保護委員会以外にも、民間の団体を利用した保護を図るための認定制度です。法人や民間の企業(団体)が、個人情報保護委員会の認定を受けることで、なることができます。
今までの認定団体制度では、事業者の全ての分野で取り扱う個人情報が認定の対象でした。改正後では、事業者の特定の事業で取り扱う個人情報が認定の対象となり、より専門性がある活用や認定のしやすさによる認定団体の活用促進が期待されます。

【改正ポイント④】保有個人データの利活用の在り方

Hand typing on modern laptop notebook computer with future graph icons and symbols

データの利活用を促進するため、以下2つが改正・新設されます。

■データ利活用のために改正・新設される項目

  • 事業者の仮名加工情報についての義務を緩和
  • 提供先での個人データとなる可能性がある場合の確認義務

・事業者の仮名加工情報についての義務を緩和

仮名加工情報とは、特定の個人を識別できないように加工して得た個人情報のことです。この仮名加工情報を作成し取り扱う事業者は、漏えい時の報告義務や開示請求、利用停止等の適用外となり、事業者の義務が緩和され、業務負担の軽減になります。

仮名加工情報について詳しくは経済産業省の資料(p.14)をご参照ください。

・提供先での個人データとなる可能性がある場合の確認義務

個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と個人情報保護法上は定義されています。一般的に、Webサイトの閲覧履歴などをブラウザに保持させるクッキー(Cookie)や、IPアドレス、端末固有IDや広告IDなどの識別子、位置情報、購買履歴データなどが該当します。

個人情報保護の観点から、第三者へ個人関連情報を個人データを提供する側の事業者は、本人の同意が得られていることを確認しなければなりません。

【改正ポイント⑤】改正個人情報保護法への違反に対するペナルティ強化

illustration of set of hazardous symbol on grey background

違反があった場合のペナルティで強化されたのは、以下の2点です。

■強化されたペナルティ

  • 措置命令違反・報告義務違反の法定刑引き上げ
  • 法人に対する罰金刑引き上げ

・法定刑引き上げ

措置命令違反の場合
改正前:6ヶ月以下の懲役又は30万円以下の罰金
改正後:1年以下の懲役又は100万円以下の罰金

報告義務違反
改正前:30万円以下の罰金
改正後:50万円以下の罰金

個人情報データベース等の不正流用
1年以下の懲役又は50万円以下の罰金
※改正での変更なし。

・法人への罰金刑引き上げ

措置命令違反の場合
改正前:30万円以下の罰金
改正後:1億円以下の罰金

報告義務違反
改正前:30万円以下の罰金
改正後:50万円以下の罰金

個人情報データベース等の不正流用
改正前:50万円以下の罰金
改正後:1億円以下の罰金

【改正ポイント⑥】外国の事業者に対して報告徴収や立入検査などの罰則を追加

Privacy Concept on Folder Register in Multicolor Card Index. Closeup View. Selective Focus. 3D Render.-1

これまで、外国の事業者は日本国内にいる者の個人情報を取り扱う場合では、報告徴収や立入検査等の対象ではなかったため、不適切な取り扱いに対しても個人情報保護委員会ができる対応が、指導や助言といった強制力のない方法しかできませんでした。

法改正により、外国の事業者が日本国内にいる者の個人情報を不適切に取り扱った場合に、より効果のある(強制力のある)措置を実施することができるのようになります。

【改正ポイント⑦】外国へデータを越境移転するときの情報提供の充実

world on a chessboard isolated on blue sky background. Elements of this image furnished by NASA

個人情報の越境移転の機会が広がる中で、国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものだと判断されています。そのため、日本国内から外国の第三者へのデータを提供する際は以下の2点が必要となります。

  • 同意取得時に、移転先国の名称、移転先国における個人情報の保護に関する制度の有無等について本人に情報提供
  • 移転先事業者の取扱い状況等の定期的な確認+本人の求めに応じて関連情報を提供

ここからは企業のマーケティングに与える影響のポイントをまとめていきます。

改正個人情報保護法が企業のマーケティングに与える影響

Online Advertising Concept. Closeup Landing Page on Laptop Screen in Doodle Design Style. On Background of Comfortable Working Place in Modern Office. Blurred, Toned Image. 3D Render.

改正個人情報保護法は、企業のデジタルマーケティングに大きな影響を与えています。マーケティングの特性上、個人情報の取り扱いは切っても切り離せないほど重要です。改正された項目の中でも、特に大きく影響を与えるのが「仮名加工情報の新設」と「個人関連情報の新設」です。

仮名加工情報の新設では、事業者の仮名加工情報についての義務が緩和され、業務負担が軽減されています。これは企業にとってメリットです。一方で注意が必要なのは、個人データの第三者への提供です。仮名加工情報の個人データは、本人の同意を得ても第三者に提供することができません。
※通常の個人データは本人の同意があれば第三者に提供可。

個人関連情報の新設では、提供先での個人データとなる可能性がある場合の確認が義務付けられました。これは、Cookie情報を利用した広告の配信等でも、データを活用については、一部で本人の同意が必要になってしまいます。マーケティング担当者は改正個人情報保護法について学び、個人情報の適正な取り扱いをしていくことが重要です。

改定個人情報保護法の対応のポイント

Businessman hand working with a Cloud Computing diagram on the new computer interface as concept

企業が改正個人情報保護法に対応するためのを8つのポイント紹介します。

  1. サードパーティCookieなど個人関連情報の利用状況や提供先の確認
  2. ターゲティング広告を利用するならCMPツールの導入
  3. 個人情報漏えい時の報告や本人通知のフローを準備
  4. 外国の第三者へ提供時の個人情報取り扱い
  5. 安全管理措置
  6. 個人情報開示請求に対する備え
  7. 個人情報の不適正な利用がないか
  8. プライバシーポリシーの改訂

【対応ポイント①】サードパーティCookieなど個人関連情報の利用状況や提供先の確認

個人関連情報を第三者に提供する際の制限が設けられています。提供する側は個人データに該当しないが、提供先では個人データとなる可能性がある場合は、第三者への提供について本人の同意等の確認が義務となっています。Cookie情報や閲覧履歴等が個人関連情報に該当します。

Webマーケティングの施策として、サードパーティCookieを利用したターゲティング広告やDMPなどがあります。
例えば、サイトに訪れたユーザーの同意を得ずに、Cookie情報に基づいた関連広告の配信行った場合、個人情報保護法に触れることになります。

【対応ポイント②】ターゲティング広告を利用するならCMPツールの導入

サードパーティCookieを使用したマーケティング施策を行っている企業にとっては、個人情報を提供するユーザーの許諾が必須になります。
同意情報を取得・管理するためのCMP(同意管理)ツールの導入を検討する必要があります。

CMP(同意管理)ツールについてもっと詳しく知りたい方はこちら

【対応ポイント③】個人情報漏えい時の報告や本人通知のフローを準備

個人情報の漏えい等が発生した際に、個人の権利利益を害する可能性が高い場合、個人情報保護委員会への報告と本人への通知をしなければなりません。
漏えい時のフローは事前に確認しておきましょう。

【対応ポイント④】外国の第三者へ提供時の個人情報取り扱い

外国の第三者へ個人情報を提供する際に、提供する第三者が個人情報をどのように取り扱うのかについて、本人への情報提供等をすることが求められているため、現在の自社の状況をチェックする必要があります。

【対応ポイント⑤】安全管理措置

個人情報取り扱いについて、どのような安全管理措置が設けられているか等を公表し、個人情報の本人が内容を把握できるようにすることが義務となっています。

【対応ポイント⑥】個人情報開示請求に対する備え

改正個人情報保護法では、前述した通り、6ヶ月以内に消去する個人データと個人データを提供したり授受した際に作成する記録についても、開示請求の対象になります。本人からの請求があった場合には、速やかに対応できるよう準備をしておきましょう。開示方法については本人が指定できるため、様々な方法に対応できるようにする必要があります。

【対応ポイント⑦】個人情報の不適正な利用がないか

不当な方法等によって個人情報の取得や利用することを禁じることが明文化されました。個人情報を違法又は不適切な利用をされる恐れがある場合は提供等をしてはなりません。提供先が予期せぬ利用をする可能性もあるので、提供の際には注意しましょう。

【対応ポイント⑧】プライバシーポリシーの改訂

企業の不利益にならないためにも、改正個人情報保護法の内容を盛り込んだプライバシーポリシーの改訂等を必要に応じて対応しましょう。

まとめ

2022年改正個人情報保護法について、企業のマーケティングに与える影響と対応方法について見てきました。
複雑で難しい内容でありながらも、対応を怠ると違法となり大きなペナルティを受けるだけでなく、企業の信頼の失墜にもなり得ます。
最低限抑えるべきポイントに対応することから始め、徐々に改正個人情報保護法に対応できるようにしていきましょう。