以前、下記の記事でWEB制作におけるGDPR対応についてお話いたしました。
EU圏などのwebサイトで対応が追われる中、日本でも2022年(令和4年)4月に改正個人情報保護法が施行されました。
今回の法改正ではwebサイト上の個人情報についての規制もあるため、種類を問わず様々なwebサイトで対応の必要が出てきました。
この記事では改正個人情報保護法の内容について触れつつ、webサイトでどのような対応が必要なのかを解説していこうと思います。
個人情報保護法ってなに?どんな法律?
さて改正個人情報保護法に詳しく触れていく前に、もととなる個人情報保護法についてお話していきたいと思います。
個人情報保護法は「個人情報の保護に関する法律」を正式名称とする法律で、情報化社会の進展やそれに伴う個人情報利用の活発化、国際的な法制度の整備を受けて2003年5月に公布、2005年4月に施行されました。
個人情報保護における個人情報とは、生きている個人に関する情報で、氏名、生年月日、住所、写真などの「特定の個人が識別できる情報」が個人情報となります。
またこの他にも組み合わせて個人を特定できる情報(免許証番号やパスポート蛮行など)は個人情報になりますし、もっと細かく「個人識別符号」といって指紋や虹彩、声紋、歩行の態様などを電子処理のために変換したものも個人情報に含まれます。
そして個人情報保護法は条文で3年ごとに見直すと明文化されているため、今回見直しが入り時代に合わせた形に変更するため2022年(令和4年)4月に改正個人情報保護法が施行されました。
WEB制作上における改正個人情報保護法で抑えておく3つのポイント
それでは今回の改正個人情報保護法で抑えておく6個のポイントについてお話していきます。
1.個人情報の本人が請求できる範囲の拡大
改正前に本人が請求できたことは、自分の個人情報を本来の目的とは違う形で使用されたり、不正に個人情報を取得されたときの利用停止や削除。加えて本人の承諾なしで情報が第三者に提供されたときの情報利用停止のみでした。
今回の改正では上記に加えて不適正な利用をされたときの利用停止や、個人データの利用が不要になったときや漏洩があったとき、データの利用が原因で本人の権利や正当な利益が害される可能性があるときなども利用停止や第三者への提供の停止が請求できるようになりました。
2.個人情報をより活用することの促進
いままでは個人情報を集めたものの活用できていない企業や活用方法に迷っている企業もありました。
そこで、改正後には「仮名加工情報の開示・利用停止請求対応の緩和」「個人情報の第三者提供の際に提供先に対して本人の同意があるかどうかを確認する義務」が追加となっています。
仮名加工情報とは氏名などを消してほかの情報とあわせないと本人であるとわからないようにした個人情報のことです。また、提供元では個人情報にならなくても、提供先ではほかの情報とあわせると個人を特定できる情報を「個人関連情報」といい、cookieと紐づいている閲覧履歴や購入履歴などがあります。
この「個人関連情報」が今回の改正個人情報保護法におけるWebサイト対策の肝となってきます。
3.違反した際の罰則の強化
罰則が与えられるのは「措置命令違反」「報告義務違反」「個人情報データベースなどを不正利用した個人や法人」などでこの際の罰則が重くなりました。
例としては、措置違反で1年以下の懲役もしくは100万円以下の罰金、報告義務違反は50万円以下の罰金。
個人に対する罰則はデータベースの不正利用で1年以下の懲役あるいは50万円以下の罰金で、法人は措置命令違反とデータベースなどの不正利用で1億円以下の罰金、報告義務違反で50万円以下の罰金です。
結局のところWebサイトでは改正個人情報保護法でなにを気をつけなければいけないの?
さて、今回の記事のメインとなるWebサイトで改正個人情報保護法について気をつけなければいけないこと
それは…
Cookie
です。
以前お話したGDPRでもこのCookieが大きな規制の対象となっていました。
今回の改正個人情報保護法もこのCookieが大きなポイントになっていきます。
なぜCookieが個人情報保護法に影響してくるの?
さてこのCookie、詳細は省きますがそれ単体から「特定の個人が識別できる情報」は含まれていないように思われます。
ではなぜCookieが規制の対象となっているのでしょうか?
それは3つのポイントでもお話した「個人関連情報」が肝となってきます。
基本的には、この個人関連情報に対して規制はありませんが、特定の状況下でのみ発動する規制があります。
それは「個人関連情報の提供元は、提供先が保有する個人データと該当情報を紐づけられる場合、提供先において本人同意が得られていることを確認、記録しなければならない」です。
たとえばとあるECサイトを運営するA社という会社があったとします。
そしてCookieを利用し管理されたユーザーの閲覧履歴を提供しているB社がいたとします。
このときB社から見ればユーザーの閲覧履歴などは「特定の個人が識別できる情報」ではありませんが、A社は個人データと閲覧履歴を紐付けることができます。
この場合A社からみるとCookieは「ほかの情報とあわせると個人を特定できる情報」となるためWeb上でユーザーに対してCookieの取得の同意が必要となります。
ここで登場するCookieはサードパーティーCookieの事で、ファーストパーティーCookieに関する規制はありません。
さてこのB社における代表例はなんでしょうか?
そう、「GoogleAnalytics」です。
またターゲティング広告や分析ツールも対象となるため、それらを行っているものはすべて対応が必要となります。
改正個人情報保護法でCookieなどに対してどのような対応が必要なの?
Cookieが対象になるのはわかりました。
それではWebサイト上ではどのような対応が必要となってくるのでしょうか?
それはGDPR対応でも行ったようなCookie同意の対応です。
大多数としてはCookieを取得してもよろしいでしょうか?のようなポプアップを出すのが一般的になっています。
それではWebサイト上ではどのような対応が必要となってくるのでしょうか?
それはGDPR対応でも行ったようなCookie同意の対応です。
大多数としてはCookieを取得してもよろしいでしょうか?のようなポプアップを出すのが一般的になっています。
ポップアップの仕様によってCookieの提供を拒否できたり、提供の種類を選択できるようになるなど様々なものがあるので、どのような対応が最適なのかを検討する必要があります。
またサイト内に個人情報保護方針やプライバシーポリシーなどがある場合は、改正個人情報保護法に対応した修正が必要になってくる場合もあります。
まとめ
個人情報保護については世界的に年々関心が高まってきています。
今回の法改正でも企業に対してしっかりとした取り組みや対応が求められました。
また三年後に見直しが入るため、世界情勢を鑑みるとより大きな対応や対策が求められると思うのでできるだけ早く対応していきたいですね。
