22年改正個人情報保護法が与えるWeb施策への影響について調べてみた【やまざき調べvol.33】

こんにちは！金融カスタマーサクセス部やまざきです。

改正個人情報保護法が昨年公布されました。施行は2022年4月1日ですが、一部の内容は今年2021年12月12日から施行されます。もう目前です。施行されるまでにこの原稿を公開できるかハラハラしながら今書いています。

改正内容について細かく解説したいところですが、素人が調べてまとめるには膨大でした。改正の全体像については、法律の専門家が出している記事や動画がわかりやすいので、そちらをご覧ください。

複数の解説サイトや動画、総務省の資料などをやまざきなりに読んで、みなさまのWeb施策に関わりそうな部分をピックアップしました。今回は、改正個人情報保護法への対応としてスパイラルでできそうなことを考えてみましたのでご紹介します！

個人情報保護法改正の背景は？

個人情報保護委員会によると、今回の改正は画像のような「5つの視点」で行われたそうです。

こうした視点をもう少し調べてみると、2つの背景があるようです。

1つ目は、個人情報の保護をより強化すべきという要請 。2つ目は、個人情報を安全に活用できたらもっとよい社会になることです。

1つ目は、国内で発生したセキュリティ事故などが関係しています。

代表的な出来事は、大手人材サービス会社が「辞退率予測」情報を企業へ販売していた事件です。この「辞退率予測」情報を就活生に十分に説明せずに販売していたとして問題になりました。採用判断には使わない旨を提供企業と確約しているものの、内定者決定前から情報提供されていたため、内定辞退率情報を採用判断に使われるリスクがありました。2019年の出来事ですが、旧個人情報保護法ではこうした不当な行為を誘発するような個人情報の利用方法についての制限がなかった（*1 第16条第2項）のです。

また2020年には、高い利用率を誇るコミュニケーションアプリの運営企業において、海外の業務委託先企業の従業員が国内の個人情報データにアクセス可能な状態だったことが発表されました。このアプリのプライバシーポリシーでは、「パーソナルデータを第三国に移転することがある」と明記しており、情報漏えいはしていないものの、”海外の関連会社からデータにアクセスする可能性までは説明していなかった”そうです。こちらも、万が一情報漏えいが発生しても、旧個人情報保護法では外国事業者に対する報告や立入検査などの強制力がありませんでした（*1 第22条の2）。

2つ目は、医療・製薬分野などにおける研究や不正検知・売上予測などの機械学習モデルの学習などに個人情報を安全に活用できれば、より精度の高い研究開発が進められるためです(*2)。

いつ改正される？

2020年6月12日に交付されており、全面施行は2022年4月1日です。違反した場合の罰金など、法定刑の引き上げは2021年12月12日から施行されます。(*3)

Web施策に関係ありそうなこと（1）サードパーティCookieが使えなくなること

Webマーケティングの世界ではページ閲覧者のCookie情報が頻繁に活用されています。とくに広告業界では、サイトの閲覧履歴や位置情報などを使ってコンテンツを出し分ける「行動ターゲティング広告」というものが存在します。

こうしたケースは、閲覧しているサイトの運営会社とそこに広告を掲載している会社は別であることがほとんどです。Cookie情報単体では個人を特定できないため、旧個人情報保護法ではサイト運営者が広告掲載企業に閲覧者のCookie情報を提供することで表示の出し分けを行うことができました。

しかし、過去に同一のCookieを持つユーザーが広告掲載企業のマイページにログインしたり、メールマガジンのリンクをクリックしたことがある場合、広告掲載企業側でユーザーを特定できてしまうことがあります。そうしたことから、今回の改正では提供先で個人データとなることが想定される情報の第三者提供時の確認を義務化しました。(*1 第26条の2第1項)

世界的にもこうした動きがあり、Safariは2020年3月24日にサードパーティCookieをブロックしており、Googleは2021年6月24日に利用廃止を発表しています。

これまではサードパーティCookieを使うことでWebサイトをまたいだ行動履歴を追跡することで表示の出し分けができていましたが、今後はそうした追跡が難しくなってしまいます。

自社ドメインのサイト上で取得したCookie情報（ファースパーティーCookieと呼ばれます）は比較的利用できる方法があるので、今後どのように活用していくかが課題になりそうです。

Web施策に関係ありそうなこと（2）電磁的な開示請求方法が認められる

社会的なデジタル化により、企業が保有する個人データにも動画や音声情報が含まれるようになってきました。そうした背景から、開示請求を受けた際の情報開示方法に電磁的記録の提供が認められるようになります。また、開示方法についても本人が請求した方法で遅滞なく必要なデータを開示することが求められるようになります。(*1 第28条)

Web施策に関係ありそうなこと（3）情報漏えい発生時の報告と通知が義務化

今回の法改正について調べていて一番意外だったのは、旧法では個人情報漏えい時に個人情報保護員会への報告や顧客への通知を怠っても法律違反にならなかったことでした。今回の改正で、影響の大きい情報漏えいが発生した場合は個人情報保護委員会にへの通知と、本人への通知が義務化されます。（*1 第22条の2第1項及び第2甲）

私、やまざきが注目したのは本人への通知の義務化です。

内容をあとから確認できるようにするため、書面やメールなどを併用して通知することが推奨されています。さらに、本人への通知は「通知が困難な場合」には代替措置を取ることが認められていますが、住所と電話番号など、複数の連絡手段を保有している場合、一つの手段で連絡が取れなければ「通知が困難な場合」に該当するわけではありません。郵送で通知して不在票が返ってきた場合、別途電話でご連絡するなど、少なくとも可能な連絡手段が残っている限り本人への通知を試し続ける必要があります。（*4 Q6-27）

情報漏えいが発生すると企業側はブランド価値が低下し、お客様は不正利用などのリスクに脅かされます。そうしたときにいち早く正確な情報をお届けすることでさらなる信頼低下を防ぐだけでなく、迅速な対応が評価されやすい現代に合わせた体制づくりを進めておくのは大切なことではないでしょうか。

もし郵送で通知する場合、書面の準備や発送だけでも数日かかるうえ、お客様は自宅に帰るまで郵送物を確認できません。不在票が届いた方に個別にお電話を差し上げる場合、更にリードタイムが発生してしまいます。企業側にとっても、発送やステータス管理、個別連絡などにコストが掛かります。

一方で、メールなどの電子的な連絡手段を用いる場合、低コストかつすぐにご連絡ができるうえ、メッセージが届かなかった場合のエラー情報をすぐに確認して次の行動に移せます。

メールアドレスや携帯番号、LINEIDなどの電子的な連絡手段をどれだけ保持しているかどうかが、もしものときの信頼を保てるかどうかを左右しそうです。

個人情報保護法改正に向けてスパイラル株式会社でお手伝いできること

ファーストパーティCookieを使った接点強化

今回の法改正や世界的な傾向から、サイトをまたがるCookie情報（=サードパーティCookie）を取得・活用するのが困難になります。一方、自社ドメインのサイト内で取得可能なCookie（=ファーストパーティCookie）は比較的活用ができます。

弊社では、マーケティングオートメーションツール「SPIRAL®Webのあしあと」を提供しています。ファーストパーティCookieを使ってサイト訪問歴を数値化し、サイト内の表示出し分けやお客様に合わせたメール・SMS・LINE配信を行えます。

電子的な連絡先の取得や顧客情報との紐付け

今回の改正で、開示請求があった際には電磁的な開示が認められ、開示方法を請求者が指定できるようになります。また、情報漏えい発生時には個人情報保護委員会への報告と顧客への通知が義務化されます。

そのため、今後はメールやSMS、LINEなどお客様の電子的な連絡先を収集しておくことで、電磁的な開示や漏洩時の通知をスムーズに進められるのではないでしょうか。

実際に、保険業界のとあるお客様に、既存契約者さまの連絡先収集でスパイラルを使っていただいたことがあります。郵送で契約者さまに告知し、スパイラルのフォームからメールアドレスを登録いただくと、インセンティブとしてデジタルギフトがプレゼントされる方法で、効率よく連絡先を収集されていました。

適法に取得したメールアドレスを定期接触に活用しておけば、配信ログからアドレスの死活状況を確認できます。情報漏えい時の顧客通知の際、どれくらいのお客様にはメールアドレス経由でご連絡ができ、どれくらいのお客様には郵送や電話などでご連絡する必要があるのかすぐに把握できるようになります。

メールアドレスの他に、LINEの公式アカウントを運用されている金融機関さまも多いのではないでしょうか。スパイラルとLINEを連携させると、アンケートなどの機能を使ってLINEアカウントと契約者情報を紐付けることができます。他にも、SMS配信サービスと連携させることで対象顧客へのSMS一斉配信なども可能です。

参考文献

*1「個人情報の保護に関する法律等の一部を改正する法律新旧対照条文」（令和２年６月12日、個人情報保護委員会　閲覧日：2021年11月11日）p6,12,32

*2「個人情報の保護に関する法律等の一部を改正する法律について」（令和３年４月27日、個人情報保護委員会　閲覧日：2021年11月11日）p14

*3「個人情報の保護に関する法律等の一部を改正する法律の施行期日を定める政令」（令和２年６月12日、個人情報保護委員会　閲覧日：2021年11月11日日）

*4「「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ」（平成 29 年２月 16 日（令和３年９月 10 日更新）、個人情報保護委員会　閲覧日：2021年11月12日）

「個人情報の保護に関する法律等の一部を改正する法律 （令和二年法律第四十四号）」（改正法令公布日：令和二年六月十二日、調査機関　閲覧日：2021年11月11日）

• SPIRALマネージドクラウド
• LINE活用ソリューション
• SMS連携
• 住友生命さまのDX成功事例をご案内!!2025年の崖を乗り越えるには?【やまざき調べvol.24】
• 過去のやまざき調べはこちら
• やまざき調べメルマガ登録

※本記事の内容の信頼性、正確性、真実性、妥当性、適法性及び第三者の権利を侵害してないこと等について、当社は一切保証いたしません。また、本記事の利用によって発生したいかなる損害その他トラブルにおいても、当社に一切の責任はないものとさせていただきます。