運営公開日：2022.04.08

2022年4月施行！改正個人情報保護法で押さえておくべきEC事業への影響ポイント

2022年4月1日の改正個人情報保護法の施行は大幅な改正内容のため、多くの企業にとって対応すべき項目が多数存在しています。

そもそも改正個人情報保護法の施行は、越境を含むデジタルマーケティング市場の急速な拡大に則った3年ごとの見直しの結果であり、今回は主に「個人データ保護」「企業内の個人データの利活用の促進」に重点が置かれた改正内容となっています。

では、この改正個人情報保護法がどのような点で改正され、EC関連にどのような影響を与えるのか、見ていきましょう。

改正個人情報保護法の改正ポイント

今回の改正個人情報保護法では、大きく分けて以下の点において改正が行われています。

①漏えい等報告・本人通知の義務化
②外国にある第三者への提供
③保有個人データの開示方法
④個人データの利用の停止・消去等の請求
⑤公表等事項の充実
⑥不適正利用の禁止
⑦個人関連情報
⑧仮名加工情報

「要配慮個人情報の漏洩」「財産的被害のおそれがある漏洩」「不正の目的によるおそれがある漏洩」「1,000件を超える漏洩」などが発生した場合、事業者は「個人情報保護委員会」への報告義務があり、また「本人」にも通知する義務が発生します。

改正前は、「本人」に通知する行為は義務ではなく、「努める」レベルでした。ですが改正後は義務化されていることに注意しましょう。

外国にある第三者に個人データを提供する際は、改正後、追加で以下の点が義務付けられます。

・本人の同意にプラスして、「移転先の所在国の名称」「当該外国における個人情報の保護に関する精度」「移転先が講ずる個人情報の保護のための措置」の情報を提供すること

・基準に適合した体制を整備した事業者である他、「移転先における適正な取扱い状況などの定期的な確認」「移転先における問題が生じた場合の対応」「本人の求めに応じて必要な処置などに関する情報提供」

改正前は、保有個人データの開示方法は「書面」による交付が原則でした。

しかし改正後は、「電磁的記録」（※）の提供を含め、本人が指示できるようになりました。
※CD-ROM等の媒体の郵送、電子メールによる送信、ウェブサイトのダウンロード等

さらに、個人データの第三者提供記録の開示請求が可能になり、保存期間に関わらず、6か月以内に消去する保有個人データも開示・利用停止・消去などの対象となります。

個人データについて、改正前は「利用停止・消去ができるのは、目的外利用や不正取得の場合に限定」「第三者提供の停止ができるのは、第三者提供義務違反の場合に限定」となっていました。

しかし改正後は、利用停止・消去等の請求権について、「一部の個人情報保護法違反」の場合に加え、「個人の権利又は正当な利益が害されるおそれがある場合」にも拡充されました。

安全管理のために講じた措置を公表等する義務がある事項が追加されました。
※公表等により支障を及ぼす恐れがあるものを除く

違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化しています。

※この項目は新設された内容となっています。

個人関連情報とは、生存する個人に関する情報のこと。たとえば、Cookie等の端末識別子を通じて収集された閲覧履歴や、商品購買履歴・サービス利用履歴、個人の位置情報といったことが該当します。

この個人関連情報を第三者に提供する場合は、提供元に第三者提供に関して「本人の同意が得られていることの確認」が義務付けられます。

※この項目は新設された内容となっています。

仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報を指します。

仮名加工情報に変換すれば、「利用目的の変更の制限」「漏洩等の報告・本人通知」「開示・利用停止等の請求対応」は義務から除外されます。

※この項目は新設された内容となっています。

おそらく、今回の改正においてEC関連事業者の方々が最も押さえておくべきは、【①漏えい等報告・本人通知の義務化】【⑦個人関連情報】あたりではないかと推測されます。

たとえば、個人情報保護委員会からの命令に違反した場合などは罰金刑・懲役刑が科せられるため、早急に現行のマーケティング施策やCoolieの取り扱い方法などについて見直しされることをおすすめします。

ユーザー（消費者）との信頼関係を築き、法に則った運営を行うために、ぜひ改正内容を理解して対応するようにしましょう。

登録されたキーワードはありません