法律の理解|個人情報の保護に関する法律
個人情報の保護に関する法律」は、日本国民の個人情報を保護するために制定された法律です。 この法律は、社会における情報技術の利用が増加し、それが悪用される可能性があることに対応するものです。この法律では、個人情報の収集、利用、保護に関する具体的な規制を定めています。個人情報の保護に関する法律」は、データ保護に関するガイドラインであるという点で、GDPRなどの法律と似ていますが、日本国民向けに作られた独立した法律である点が異なります。
適用対象
個人情報の保護に関する法律は、日本国民のプライバシーを保護することを目的としており、日本居住者の個人情報を取り扱うすべての組織に適用されます。日本国民の個人情報を取り扱う企業は、その所在地にかかわらず、この規則を遵守しなければなりません。なお、個人情報とは、生存する個人の身元を明らかにすることができるすべての情報と定義されています。
新改訂
個人情報の保護に関する法律」は、2003年に制定されましたが、技術の変化に対応するため、これまで何度も改定が行われてきました。その最新版は2022年4月1日に施行され、いくつかの新しい修正と条項が含まれています。
この法改正は、一般的な更新を導入すると同時に、より広範な変更を加えることを目的としています。その第一は、個人データに関する個人の権利、第二は、企業の報告義務、第三は、国境を越えたデータ転送の規制である。
改正の概要|個人情報の保護に関する法律
個人情報の権利について|個人情報の保護に関する法律
現代では、データは金と同じように価値があり、敵はこれまで以上にそれを利用しようとしています。特に個人情報は、被害者を容易に侵害し、強要し、詐取することができるため、これらの事業者にとって有利な情報である。このことを考慮し、法律家は新しい法律改正を行い、個人が個人情報を管理・保護する権利を再定義する新しい文言を制定しました。
特に、個人情報の利用停止や削除の権利を強化する改正が含まれています。この改正により、法律の対象となる国民は、自分のデータを消去するよう要求できるようになりました。
ガイドラインでは、「個人情報取扱事業者が保有個人データを利用する必要がなくなった場合」、「一定の情報漏えい事故が発生した場合」、「保有個人データを取り扱うことにより…本人の権利または正当な利益を害するおそれがある場合」などに適用すると明記されています。
この改正は、不正に取得・取扱いを行った場合にのみ本データを削除することを定めていた旧バージョンからの変更点です。また、個人情報の保護に関する法律では、6ヶ月以内に消去される予定のデータについては、この権利の対象外とされていましたが、今回のガイドラインの改訂で、この権利は完全に削除されました。
報告義務
この法律のガイドラインの重要な変更点は、個人情報への侵害を報告する企業の責任という形で現れています。以前のガイドラインでは報告義務はありませんでしたが、最新の個人情報の保護に関する法律では、一部の情報漏えいを報告することが義務付けられています。
これは、以下のいずれかが発生した場合に適用されます。
- 機密データを含むデータの漏洩
- 不適切に使用された場合、経済的損失につながる可能性のあるデータを含むデータの侵害(オンライン金融サービスのログイン情報またはクレジットカード情報の盗難など)。
- 不当な目的をもって侵入された場合(不正アクセスやランサムウェアの人質として個人情報を盗まれた場合など)
- 侵害されたデータ対象者が1,000人以上であること。
これらの条件は、幅広い状況に適用されるため、法律の下で多くの企業が期待されることを大きく再定義しています。
上記の条件を満たす情報漏えいが発生した企業は、個人情報保護委員会に報告し、対応手順を遵守することが義務付けられています。
ガイドラインでは、このプロセスにおいて複数のステップを踏むことが要求されています。
- 事業者は、社内の適切な機関に報告するとともに、被害の拡大を防止するために必要な措置を講じなければならない。
- インシデントに関連する事実を調査し、原因を特定する。
- 情報漏えいの影響と範囲を特定する。
- リスクアセスメントの実施、インシデント対応計画の維持、関連する証拠の保全など、侵害の再発防止策を考案し、見直し、実施する。
また、企業は情報漏えいに気づいた後、データ対象者に通知しなければなりません。これは「状況に応じて速やかに」行うこととされており、その時の状況に応じて定義が異なる場合があります。さらに、このガイドラインは、「本人に通知することが困難であり、本人の権利・利益を保護するために必要な代替措置がとられる場合」には適用されないとされている。
あなたは代理店、ウェブデザイナー、または他の再販業者ですか?
30%のコミッションを獲得するには、当社の 再販モデル をご覧になるか、500以上のクライアント数についてはお問い合わせください。
収入を計算する
個人情報の保護に関する法律における個人参照可能な情報の規制とは?
改正された個人情報の保護に関する法律では、組織は、個人情報を収集し処理する前に、データ対象者から同意を得ることが義務付けられています。
また、個人情報に該当しない情報や匿名化・仮名化された情報を第三者に提供する場合、提供者が個人情報として提供することに同意していることを証明する必要があります。また、改正された規則では、データ主体に対して、データ収集に関する一定の情報を提供することが義務付けられています。
以下のガイドラインを考慮する必要があります。
1 「提供された情報を個人データとして受け取る」とは?
同規則では、データの受領者が、他の個人データを充実させるためなどに、この情報を個人データとして利用しようとする場合を指すとされています。
なお、提供先が他の個人データの利活用を意図していない場合は、提供先が利用者の同意を証明する必要はありません。
2 ここでいう「予見」とは、どのような意味ですか?
データ受信者とデータ提供者の間の契約において、受信した情報を個人データとして利用しないことが明記されている場合、受信者がその情報を個人データとして利用することは「予見」されないと考えられます。
しかし、データ受信者がその情報を個人データとして使用することが疑われる場合は、同意の証明が適用されます。
3 同意を求める際のデータ主体への情報提供
同意を求める際には、明確に伝えることが求められています。具体的には、以下のような事項を通知する必要があります。
- 個人情報の提供元がどこであるか
- どのような情報を共有するのか
- 個人データとして利用する目的
4 ユーザーの同意を得る主体
基本的には、ユーザー/個人と直接接触するデータ受領者が、ユーザーの同意を得ることが望ましいとされています。
ただし、個人の権利が適切に保護されている場合は、データ提供者がデータ受領者に代わって同意を求めることも認められています。
Google Analyticsやトラッキング技術、広告技術などのサードパーティツールをウェブサイトで使用している場合、CookieFirstのようなConsent Management Platform(CMP)を使用して、ウェブサイトユーザーから同意を取得することができます。
当社の同意に関する機能は、こちらをご覧ください。
国境を越えたデータ転送と個人情報の保護に関する法律
法改正では、個人情報の第三者への移転に関する規定も盛り込まれました。まず注目すべきは、従来の規制を拡大する形で、受領者がデータを使用して特定の個人を識別することができ、開示企業がそれをできない場合の転送をガイドラインでカバーするようになったことである。
もう一つの重要な変更は、国境と国境を越えたデータ転送のルールに関係するものです。この規則では、同意を得る際に個人と共有しなければならない情報を拡大し、同等のデータ保護基準を持つ事業者とデータを共有する際に保護基準が維持されていることを確認するよう求めています。
テクノロジーが発展し続け、そのナビゲーションがますます複雑になるにつれ、サイバーセキュリティはこれまで以上に重要なものとなっています。日本の個人情報の保護に関する法律の最新の更新は、このような変化する状況下で個人を保護するために、データ・セキュリティに常に優先順位を置く必要があることを反映しています。
