22年4月1日、「改正個人情報保護法(以下、改正法)」が、全面施行を迎える。法人の罰金の最高額が「1億円」に引き上げられるなど、厳罰化が進んだほか、個人情報の取り扱いに対しても、さまざまな義務が新たに導入された。「個人関連情報」も新設され、幅広い事業者に大きな影響が出ることが懸念される。万が一の漏えいの際の報告なども義務化された。通販・訪販事業者にとっても、サイトの改修や、ビジネスモデルの見直しなどが迫られそうだ。改正法について、無店舗販売事業者が注意すべき五つのポイントと、講じるべき対策を、専門家の声も交えながらまとめた。
4月1日全面施行の改正個人情報保護法(以下改正法)について、改正のポイントを踏まえながら、対策を講じていくことが大切だ。
【改正ポイント(1)】 「個人関連情報」の新設
改正法では、「個人関連情報」という新たな概念が新設された。無店舗販売事業者にも、少なからず影響がありそうだ。
総務省総合通信基盤局で個人情報やプライバシー関連の法解釈・政策などを担当し、通販にも明るい、池田・染谷法律事務所の今村敏弁護士は、「『個人関連情報』の規律は、EC・通販ビジネスを提供する事業者には、その規模を問わず大きな影響をもたらすものだ」と指摘する。「『個人関連情報』については、EC・通販事業者からの問い合わせが相次いでいる」(同)と言う。
「個人関連情報」は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」と定義されている。具体的には、クッキーなどの端末識別子や、サイトの閲覧履歴、位置情報、商品の購買履歴、サービスの利用履歴などが含まれる。
「個人関連情報」については、事業者が収集した時点では個人データに該当しない場合でも、提供した第三者の元で個人データとなると想定されるケースがある。そうした情報を第三者に提供する場合、提供を行う事業者(提供元)が、「本人から提供の同意が得られていること等の確認」を行うことが義務付けられた。提供元には、「原則3年の保存」「提供年月日などの記録・申告」などの管理義務が新たに生じる。
前出の今村弁護士は、「例えばECの事業者ならば、サイトの利用者の個人情報だけでなく、『個人関連情報』についても、どのように取得し、当該情報をどこに提供しているのかを把握しておくべきだ。他社ツールを用いることで自らが把握していない提供先に、知らない間に情報が流通していることがないかについても気を付けるべきだ」としている。
具体的な対応としては、サイト上での「ポップアップ」や「プライバシーポリシー」などでの明示によって、同意を取得する方法が考えられるという。
ECでアパレルなどを販売する上場企業A社の担当者は、「4月1日付でプライバシーポリシーを改訂する予定だ」と話していた。
【改正ポイント(2)】 漏えい報告と本人告知の義務化
改正法では、事業者の責務が追加された。
(続きは、「日本流通産業新聞」3月17日号で)
〈無店舗販売事業者が注意すべき五つのポイント〉 改正個人情報保護法、4月1日施行迫る (2022年3月17日号)
記事は取材・執筆時の情報で、現在は異なる場合があります。