コラム
小さな会社の経営者様にむけて
ちょっと役に立つ、
ちょっと面白い、
そんなお話をご紹介します。
クッキーについて(4)
2022.3.25
こんにちは。神奈川でIT相談ならホットソウルにお任せください!
小さな会社のためのデジタル戦略室、株式会社ホットソウル代表・若杉です。
これまで3回に渡り、クッキー(Cookie)によって行動履歴を収集できる仕組みや、なぜ近年問題視されるようになってきたのかなど、クッキーにまつわるコラムを続けてきております。
前回は「世界で最も厳しいプライバシー法」と自称するGDPR(EU一般データ保護規則)について、小さな会社の経営者の観点でまとめてみました。
前回記事はこちら
今回は『2022年4月施行 改正個人情報保護法』についてです。
最近、普段利用している色々なサービスから【プライバシーポリシー変更のお知らせ】といった内容のメールが届いていませんか?
これは、今回の個人情報保護法改正に伴う各企業の対応だと思われます。
法令自体に深入りするといつまでたっても終わらないコラムになってしまいますので、これまでと同様、小さな会社として気を付けることは何か?という観点でまとめていきます。
個人情報保護法の歴史
そもそも個人情報保護法とはなんぞや?!という疑問があったので、その歴史を色々と検索してみたところ、個人情報保護委員会のアーカイブから、2016年に作成されたと思われる『個人情報保護法の過去・現在・未来(慶應義塾大学 総合政策学部 教授 新保 史生)』という資料が見つかりました。
https://www.ppc.go.jp/files/pdf/personal_280229sympo_lecture_shimpo.pdf
また、東京都のホームページにも、冒頭に簡単な沿革が記されています。
https://www.johokokai.metro.tokyo.lg.jp/kojinjoho/hogohou/index.html
これらをざっくりまとめると、以下のようになります。
・1980年のOECDプライバシー8原則採択が、日本や諸外国の個人情報保護制度整備のきっかけ
・1988年 日本で最初の個人情報保護法制定。ただしこれは、国の行政機関を対象とした法律
・1998年 民間部門の取り組みとして、プライバシーマーク制度が運用開始
・2003年 現在の個人情報保護関連5法が公布・施行(一部義務規定等は2005年4月施行)
・2015年 改正個人情報保護法が公布(2017年全面施行)
・2016年 個人情報保護委員会設置(2017年監督権限を委員会に一元化)
そして現在、2020年6月公布の改正個人情報保護法が、施行日(2022年4月1日)を迎えようとしています。
個人情報保護委員会とは
委員会というと、誰が作ったどんな組織なのかといぶかってしまいそうですが、簡単に言うと「お役所」と思ってよいようです。
個人情報等の取り扱いに関する監督権限はこちらの委員会に一元化されているそうなので、関連する情報の源としては、まずは委員会のホームページを探してみるのが間違いないと思います。
手っ取り早く知りたい!
とかく法律の話は、理屈っぽかったり、文面も硬かったり、文字数も多くて読みにくいですよね。
特に忙しい経営者様ですと、肝心なポイントだけを早く知りたい、と思うのではないでしょうか。
そんな方には、個人情報保護委員会のホームページにある『マンガで学ぶ個人情報保護法』がおススメです!
https://www.ppc.go.jp/news/anime_personalinfo/top/
個人情報保護法の基本や今回の改正の重要ポイントが、分かりやすくまとめられています。 初めて個人情報保護法について調べてみるという方は、まずはこちらから見ていくのがベストだと思います。
マンガを読んで、個別具体的な疑問が出てきたり、もう少し詳しく知りたくなったりしたら、こちらのFAQもお勧めです。
https://www.ppc.go.jp/personalinfo/contact/
違反するとどうなる?
法律と言われると、まず気になってしまうのが罰則のことだったりします。(;・∀・)
先ほどのFAQに回答が載っておりました。
https://www.ppc.go.jp/personalinfo/faq/2009_APPI_QA/#q8-1
ざっくりまとめると、以下のようになります。
<個人情報保護法の義務規定に違反し、不適切な個人情報の取扱いを行っている場合>
①個人情報保護委員会(もしくは委任を受けた各省庁)が、必要に応じて、報告徴収・立入検査を実施し、指導・助言または勧告・命令を行う。
②命令に従わなかった場合、報告徴収・立入検査に応じなかった場合、虚偽の報告をした場合等に、罰則の対象となる。
なお、罰則については、2022年4月施行の法改正で以下のように強化されます。
<命令違反の場合>
【現】6ヶ月以下の懲役または30万円以下の罰金
【新】1年以下の懲役または100万円以下の罰金
<虚偽報告等の場合>
【現】30万円以下の罰金
【新】50万円以下の罰金
<法人がデータベース等不正提供や命令違反をした場合>
【新】罰金刑の最高額を引き上げ(1億円以下の罰金)
何をどうすればよいのか?
法律の存在は分かったけど、具体的に何をどう対応すれば良いのか?という疑問があるかと思います。
教科書的な答えとしては、こちらのガイドラインを読んで、それに沿った対応を検討・実施していく、という事になります。
https://www.ppc.go.jp/personalinfo/legal/
ガイドラインにも書かれているのですが、中小企業に対しては、必ずしも大企業と同様の対応が求められている訳ではありません。
なので、今回の法改正に対しても、過剰に構える必要はないのではないかと思いました。
まずは、以下のような基本的なことから整理してみると良いのではないでしょうか。
・自社で扱う機密情報(公にできない・したくない情報)は、何があるのか?
・その中で、個人情報にあたるものは何か?
・機密情報は、どこから入手して、どこに保管して、どこに渡している?
・機密情報が漏れないように、どんな工夫をしているか?
それでも、何から手を付けて良いか全く分からないといった場合は、まずは以下の相談ダイヤルに電話をしてみるのも一案かもしれません。
個人情報保護法相談ダイヤル
クッキーとの関連について
ここまでクッキー(Cookie)の話題が全く出てきておりませんでした。 (コラムのタイトルを見直した方が良いかもしれません。。。)
今回の法改正で新設される『個人関連情報』という概念が、クッキーと関連するものとなります。
個人関連情報に当てはまる例としては、
・Cookie等の端末識別子を通じて収集された、ある個人の、ウェブサイト閲覧履歴
・ある個人の、商品購買履歴やサービス利用履歴
・ある個人の、位置情報
などが挙げられています。
閲覧履歴等情報の提供元は、提供先においてこれらの情報が個人データに紐づけられて利用されることが想定されるときは、『提供先が本人同意を得ているか?』を確認することが義務付けられます。
何だかややこしいですね・・・一応整理しますと、
・本人同意を得る必要があるのは、個人関連情報を個人データと紐づけて活用する側(提供先)
・提供元は、提供先が本人同意を得ているかどうかを確認する(個人データと紐づけて利用されることが想定される場合)
となるようです。
前回も例に取り上げましたが、弊社のように、
・日本国内だけを意識してホームページを作っている
・けど、Googleアナリティクスを使ってアクセス解析を行っている
といった事業者様の場合、アナリティクスを通じてGoogleに送られた情報が、個人を特定する情報と紐づけて利用されているとは思えませんので、この点についてあまり気にすることは無いように思います。
(参考)アナリティクスヘルプ - データのプライバシーとセキュリティ
https://support.google.com/analytics/topic/2919631?hl=ja&ref_topic=1008008
今回のまとめ
今回の法改正に限って言えば、小さな会社の経営にとって重大な影響を及ぼすものでは無いように感じました。
ただ、そもそも個人情報の取扱いについては、営利・非営利、規模の大小、数の多い少ないに関わらず、『個人情報取扱事業者』としての責任が問われます。
この機会に、個人情報保護法について少し調べてみるのも良いのではないでしょうか。
この記事を書いた人
若杉 廣
株式会社ホットソウル代表取締役
やさしいDX推進協議会主宰
神奈川県中小企業診断協会会員・中小企業診断士
趣味はブラジリアン柔術、手抜き家庭菜園、ご近所直売所めぐり。
