「データ保護規制の最前線」第6回目。
個人データ利活用の促進と消費者からの信頼性確保を両立するため、企業に求められる対応策について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

消費者の個人情報保護と実務対応

情報技術の進展で企業のデータ利活用が活発化する一方、個人データの提供者である一般消費者は、自らの情報の取扱いに強い懸念を感じており、それが顕在化して炎上事案に発展することもある。こうした背景から令和2年改正個人情報保護法では、個人の権利を重要視する方向で要件を大きく見直した。

従来から個人データの提供者である本人に利用目的など情報を通知する必要があるが、改正法では、その通知項目を追加した。
具体的には個人情報を取り扱う体制や安全管理の方法、消費者がデータの取扱いを予測し得る程度に利用目的を記述するなど、項目は多岐に渡る。
各国の個人情報保護法令も、こうした個人情報の保護に関する透明性向上のための要求を取り入れている。たとえば、欧州の一般データ保護規則(GDPR)では個人データを取り扱う利用目的ごとに個別で同意を取らなければならない。その際には平易な文章により、必要に応じて図表なども用いて丁寧に説明することを求めている。このような取組みがグローバルで増えるにつれ、消費者の期待値は高まることが予想される。日本企業も同水準で対応を進める必要がある。

消費者が自身の情報をコントロールする権利も拡張している。たとえば、自身の権利や利益が侵害される恐れがあると感じた場合には、企業に個人情報の利用停止を要求できる。消費者の権利・利益保護の必要性を上回る特別な事情がない限り、企業は利用停止に応じなければならず、実質的に多くのケースで対応が必要だ。対応不要と判断した場合でも、その根拠を説明する義務があるため、対応負荷はいずれにせよ増大する。
さらに、企業が保有する個人情報をデータで提出するよう消費者が依頼できる権利や、第三者に個人情報を提供した際の記録の開示要求の権利なども追加される。こうした新しい権利を受けて、本人権利対応の仕組みの見直しを余儀なくされる企業も多い。

対応策の1つとして、ユーザー自身がシステム上で権利行使できる機能を実装しておくことが考えられる。たとえば、電子商取引(EC)サイトでの購入履歴を消費者がダウンロードできる機能などだ。こうした仕組みを用意しておくことで、企業として都度の対応負荷が減り、ユーザーに負担を強いることもないため長期的な信頼獲得につながる。
今回の法令改正、社会的な趨勢により、消費者の自身の情報の取扱いへの関心はますます高まるだろう。企業は、消費者の立場で考え、個人情報保護法令の枠組みを超えてプライバシーに配慮する姿勢を見せていく必要がある。

<ガイドラインの主な改正内容>

テーマ 法・政令・規則改正の内容 ガイドラインの改正内容
公表事項など
安全管理のために講じた措置を法定公表事項に追加

・規程策定や責任者の設置、アクセス制御の実施など、安全管理措置の具体的な内容を記載

・海外での取扱いが予定される場合、当該国の制度を把握した上で安全管理措置を実施する旨の明確化

・利用目的に第三者提供が含まれる場合はその旨の明示など

利用停止など
一部の法違反の場合に加えて、本人の権利または正当な利益が侵害されるおそれがある場合にも拡充

・本人の権利か正当な利益が害されるおそれがある場合について、利用停止などが認められる事例や認められない事例を含め解釈を具体的に記載

・利用停止などが認められる事例

(例)ダイレクトメール送付停止を求めたにもかかわらず、繰り返し送付される場合

 

執筆者

KPMGコンサルティング
シニアコンサルタント 伊藤 祐介

日刊工業新聞 2021年11月12日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

データ保護規制の最前線

お問合せ