2022年4月施行の改正個人情報保護法ですが、こんな不安を抱えている方もいらっしゃるのではないでしょうか？

• デジタルマーケティング領域において色々と対応が発生しそう
• 調べたけど、結局何をしないといけないの？
• Cookie情報を取得するのに、本人の同意が必要になるの？

本記事では、デジタルマーケティング領域において、法律に触れないためにも必須なこと、強く推奨すること7点に絞り、対応事項について記載します。

個人情報保護法とは？

個人に関する情報種別ごとの規制範囲

上記の表は、個人に関する情報の種類ごとに、データのやり取りが想定される3つのフェーズに分類して同意取得の必要性をまとめています。
グレーにハイライトされた部分は、2022年3月までの個人情報保護法で「個人情報」に該当します。
赤字部分は、2022年4月施行の改正個人情報保護法によって追加された内容です。
「本人の同意不要※」は、個人情報と紐づく場合のみ対応が必要となります。詳細は後ほど記載します。

生存している人間のデータは「個人を特定できるデータ」と「個人を特定できないデータ」の大きく2つに分類されます。また、「個人を特定できないデータ」は「半永久的に個人を特定できないデータ」と「何かと照合することで個人を特定できるデータ」に分類されます。

2022年3月までの個人情報保護法では「個人を特定できるデータ」の取得・利用・第三者への提供に対して規制が設けられていましたが、2022年4月以降は「何かと照合することで個人を特定できるデータ」に対しても規制が追加されます。一方で、「個人を特定できるデータ」でも「何かと照合しない限り個人を特定できないデータ」に加工すれば、規制が緩和される側面もあります。

日本法における個人情報の定義

個人情報は特定の個人を識別する情報を指します。氏名、住所、生年月日、電話番号などが該当します。メールアドレスに関しては個人情報に含まれないケースもありますが、個人情報の扱いに含んでおく方が安心です。

現行の個人情報保護法

2017年5月に施行された改正個人情報保護法が現行のものです。それまでは取り扱う個人情報が少ない業者は適用外でしたが、取り扱いデータ量を問わず全ての事業者に対して個人情報保護法が適用されました。
また、何を個人情報とするかの定義が明確化し、個人情報に該当するデータの「取得」「利用」「第三者への提供」は原則として本人同意を得ることが義務化されています。

今後の個人情報保護法

2022年4月より施行される改正個人情報保護法の主なトピックは以下3点です。

1. プライバシーポリシーの見直し
   「利用目的」を予測しやすい具体的な内容へ修正すること、「保有個人データの取り扱い」を明記することが求められています。
2. 「仮名（かめい）加工情報」の新設
   「仮名加工情報」とは、他の情報と照合しない限り、特定の個人を識別できないように加工された個人情報を指します。「仮名加工情報」のままであれば、利用目的変更の制限や漏洩時の報告・本人通知、開示や停止への対応が免除されます。
3. 「個人関連情報」の新設
   「個人関連情報」とは、個人に関する情報ではあるものの、特定の個人であるかは識別できない情報を指します。郵便番号や性別、職業、趣味などが該当します。また、デジタルマーケティング領域においてはCookie情報、IPアドレス、位置情報、閲覧履歴、購買履歴などが該当します。「個人関連情報」自体の「取得」「利用」「第三者への提供」は問題ありませんが、個人情報と紐づく恐れのある場合は本人同意の取得が求められます。

改正個人情報保護法施行により対応が発生するケース

同意取得が必要となるケース

「仮名加工情報」や「個人関連情報」を第三者より提供を受け、個人情報と紐づけて利用する場合は本人の同意が必要となります。

同意取得形式

同意の取得方法としては以下3点です。

1. 本人から同意する旨を示した書面を受領する方法
2. 本人から同意する旨を示した電子メールを受領する方法
3. ウェブサイト上などで本人に確認欄へのチェックを求める方法

1と2に関しては文書を確認いただく際のフォーマットが紙かデジタルかといった違いや、直接受領かメール等での送付かという違いです。
3に関しては目視確認のみではNGです。ボタンクリックなどのアクションが必須となります。また、「みなし同意」にあたるアクションはNGのため、CTAボタンなどの表現は要注意です。
例えば本人同意を取得するCTAボタンを「拒否する」とした場合、押さない限りは「拒否していない」＝「同意している」とみなせるため、「みなし同意」に該当します。「拒否する」でアクションを促すことはNGです。
「同意する」であれば、押さない限りは「同意していない」とみなされるため、「みなし同意」には該当しません。

【出典】個人情報保護委員会改正法に関連する政令・規則等の整備に向けた論点について（個人関連情報）

自社において本人同意を取得する必要があるケース

第三者から得た「個人関連情報」を自社で保有する「個人情報」と紐づけて利用する場合は、本人同意を取得する必要があります。
例えばDMPから提供されたIDと役職などのデータを自社で保有している個人情報と紐づけてメルマガ配信などを行う場合、第三者より提供を受けたデータと紐づけて利用する可能性がある旨を本人に確認し、同意を得る必要があります。

第三者が本人同意を取得したかを確認する必要があるケース

「個人情報」を保有している第三者に「個人関連情報」や「仮名加工情報」を提供する場合は、第三者が本人同意を取得したか確認する必要があります。
例えば自社で保有しているIDや購買履歴データを、同じIDで個人情報を管理するグループ会社に提供する場合、グループ会社が「購買履歴を個人情報と紐づけて利用する可能性がある」旨を本人に確認し同意を得ているか、確認する必要があります。

4月までにご対応いただきたいこと5選

必須事項

1. 個人に関する情報の利用目的を修正
   「どんな事業、商品、サービスの情報」を「どんなターゲット」に対して「何をする」ために利用するのかまで、利用目的が予測しやすい内容にする必要があります。
   【具体的に利用目的を特定している事例】
   「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」
   【具体的に利用目的を特定していない事例】
   「事業活動に用いるため」「マーケティング活動に用いるため」
2. 保有個人データの取扱いについて明記
   個人データをどこの誰が取り扱っているか、漏洩防止など安全管理のためにどんな対策をとっているかを明記する必要があります。必要な記載事項は下記3点です。
   a「個人情報取扱事業者の住所」
   b「個人情報取扱事業者である法人の代表者の氏名」
   c「保有個人データの安全管理のために講じた措置」
   aとbはほとんどの企業が自社の住所と代表者名の記載で問題ありません。
   cは組織的、人的、物理的、技術的の4つの面で安全管理のためにどんな措置を取るのか記載しておく必要があります。個人情報保護委員会よりガイドラインが出ていますので、詳細は下記PDFの117～119ページをご確認ください。
   https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
3. Cookieや購買履歴などの個人関連情報を第三者に提供している場合
   情報を提供する相手が個人情報と紐づけて利用できるか確認し、利用可能な環境である場合は本人同意を取得しているか確認する必要があります。
   また、確認をとった記録を残しておく必要もあるため、「情報を提供した年月日」「提供相手の情報」「提供した個人関連情報」などを記録、保管してください。
4. Cookieや購買履歴などの個人関連情報を第三者から提供を受け、個人情報と紐づけている場合
   本人の同意を得る必要があります。同意の取得方法は本記事の「同意取得形式」をご確認ください。
   また、データを提供した第三者に本人の同意を得たと申告した旨を記録する必要もあるため、「本人同意取得の有無」「情報提供してくれた相手の情報」「識別される本人の氏名やID、個人関連情報」などを記録、保管してください。

推奨事項

1. リマーケティングなどユーザーの訪問・行動履歴情報を利用する広告を配信している場合、プライバシーポリシーに記載
   「個人に関する情報の利用目的を修正」と連動する点でもありますが、一部広告媒体では、利用している広告媒体に関しての記載を求めています。Google広告、Yahoo!広告、Facebook広告は下記URLにてプライバシーポリシーへの記載依頼を明記していますので、利用している広告媒体がありましたらご確認の上、プライバシーポリシーへの記載を強く推奨します。
   Google広告
   https://support.google.com/google-ads/answer/2549063?hl=ja
   Yahoo!広告
   https://ads-help.yahoo.co.jp/yahooads/ydn/articledetail?lan=ja&aid=1411
   Facebook広告
   https://www.facebook.com/business/help/1247534515288168?id=735435806665862

施行を待たず早急にご確認いただきたいこと2選

1. 1. 「個人関連情報」ではなく、「個人情報」そのものを第三者へ提供している場合
      「個人情報」の「取得」「利用」「第三者への提供」は、2022年3月時点の個人情報保護法にて本人同意の取得とプライバシーポリシーへの利用目的記載が必須となっています。自社の取り扱い状況やプライバシーポリシーがどうなっているか、今一度確認し、ズレが生じている場合は早急に修正してください。
   2. 共催セミナーなどで得た個人情報を共同利用する場合
      自社のプライバシーポリシーに関しては同意を得ているケースがほとんどかと思いますが、他社と共催でセミナーを実施する際、取得した情報を両者間で共有利用するケースがあります。その場合、自社のプライバシーポリシーへ目的・共同利用の旨記載と、共催相手側の「個人情報取り扱いについて」も併記する必要があります。
      以下は弊社事例です。
      「内容確認・同意の上、送信ください」と記載されていれば、チェックボックスの設置までは不要です。

改正個人情報保護法以外に注意すべき法律

2023年以降に公布される改正個人情報保護法において、EUのGDPRやアメリカのCCPAのような法律に改正される可能性が高いため、海外からのアクセスが想定されるサイトや、大規模なサイト改修をご健闘されている場合は、下記法律への対策を取り入れることを特に推奨します。

GDPR

EUにて2018年に施行された法律です。氏名やクレジットカードといった情報はもちろんのこと、CookieやIPアドレスなど日本ではまだ規制されていないオンライン識別子の取得も規制の対象です。
また、GDPRの適用対象はEU域内のみならず、EU向けに商品やサービスを提供しているEU域外の企業も対象となります。

CCPA

アメリカにて2020年に施行された法律です。
こちらもGDPR同様に、カリフォルニア州の個人情報を取り扱う場合であれば企業の拠点先は問われないため、注意が必要です。

最後に

法令を理解した上で適切な対策をとることが大事

事業の成果を改善する上でデータは非常に重要です。一方で情報漏洩など個人情報の取り扱い一つで消費者の信頼を失い、多大な損失に繋がるリスクもあります。

法令やモラルを理解した上で事業の成果に繋げるためにはどうしたらいいか、お悩みの方は是非弊社へご相談ください。