【一問一答】「 個人情報保護法 改正案 」とは?:日本版 GDPR/CCPA といえるのか

個人情報保護委員会によると3月10日、「個人情報保護法」(正式名称「個人情報の保護に関する法律」)の改正案が閣議決定しました。当日のNHKの報道では、「今回の改正では『クッキー』などの電子情報を企業が利用する際の条件を厳格化」したところが、ひとつのポイントだと報じられています。

関係者界隈では「日本版GDPR/CCPA」という表現もされている本改正案。青天井にも思える巨額な罰金でアドテクノロジー業界を震え上がらせたGDPR/CCPAと、実際にどのように違うのか? また、実施の施行まで、どのようなスケジュールが想定されているのか? 

いつもの「一問一答」シリーズで解説します。

ーーまず、今回の改正案、これまでの個人情報保護法と比べると、どんな違いがあるのでしょう?

やはり改正案ですので、アップデートされた部分は、さまざまあります。たとえば、6カ月以内に消去する「短期保存データ」であっても「保有個人データ」の対象となったり、第三者提供における同意の取得方法について定義されたり、罰金刑の最高額が引き上げられたり、などなど。ですが、従来のデジタルマーケティングを実施していくうえでは、そんなに影響は大きくないと考えられます。

ーーえ、そうなんですか? 日本版GDPR/CCPAと表現する人もいますが

たしかに、今回の改正案において、法人に対する罰金刑の額は、以前の「50万円又は30万円以下」から「1億円以下」へと、大きく引き上げられました。GDPR/CCPAも罰金刑の額は、億単位に及ぶことが容易に想像がつくので、その部分ではより近くなったと考えられるかもしれません。

ですが、デジタルマーケティングにおいて着目されるのは、やはり「Cookie」だと思います。GDPR/CCPAでは、そのCookieをも「個人情報」と定義しているので、アドテク業界に大きな波紋を及ぼしました。ですが、個人情報保護法では、いまのところ個人情報の定義のなかに、Cookieそのものは「含まれません」。

なので、従来型のデジタルマーケティングを実施するうえでは、従来法と同様に、あまり影響は大きくないはずです。

ーーGDPR/CCPAは「Cookie」を対象としているが、個人情報保護法では対象でない?

Cookieとは、そもそもユーザーがあるサイトを訪問した際にブラウザに記録されるデータのこと。その内容は、ログインセッションIDなどの本人識別情報、広告配信のためのブラウザを識別するID、言語設定情報など、多岐にわたりますが、日本においてはログインセッションIDなど特定の個人を識別できる情報だけが規制対象となっていました。

しかし、GDPR/CCPAでは、個人ではなく、Cookieを使ってブラウザを識別しているにすぎない広告配信のためのID、いわゆるオンライン識別子も規制の対象とされたのです。

一方、個人情報保護法では、Cookieでブラウザを識別しているというだけでは規制対象ではありません。実は、2017年に施行された個人情報保護法改正案の大綱において、Cookieを対象にすることも検討されていました。ところが、実際の改正案ではその部分が見直され、結局Cookieは対象としない形で成立したのです。そのスタンスは、今回の改定案でも、そのまま引き継がれているようですね。

「オンライン識別子という観点だと、GDPR/CCPAと比較して個人情報保護法は、かなり緩やかな法律となっている」と、プライバシーマネジメントシステムを提供する株式会社データサイン(DataSign)の代表取締役、太田祐一氏は語ります。「Cookieならば、それを氏名・住所・性別やCRMの顧客IDなどの個人情報と紐づく形で利用しなければ、個人情報保護法の対象ならない」。

ーーなるほど…。でも、NHKの報道では、「『クッキー』などの電子情報を企業が利用する際の条件を厳格化」とありますよね?

それについては、リクナビ「内定辞退率」販売問題のようなケースを指していると思われます。これは、リクナビが特定企業の内定を得た学生の「内定辞退率」を予測して、その企業に数百万円の価格で販売していたという内容でした。リクナビが「内定辞退率」を予測するのに利用したのが、学生の個人情報に紐付いた自社サービス内の閲覧情報、つまりCookieです。

リクナビは、求職者と求人企業をマッチングするサービスですから、個人情報の提供は必須ですので、それと閲覧情報と紐付けるのは当然の流れといえるでしょう。しかし、そのデータ利用を自社内分析だけに留めていたなら問題はなかったのでしょうが、販売してしまっては、やはり「やりすぎた」と言わざるを得ません。これは、同じCookieを利用していても、それが個人情報とは紐付いていない通常のデジタル広告とは、まったく別の新しいビジネスだったといえると思います。

「リクナビの問題と同じように、DMPなどを使ってCookieを個人情報と紐付けているような使い方は、今回の改正で規制対象となり得る」と、太田氏は補足します。「具体的には、提供元では『CookieID+性別』というような特定の個人を識別できない情報であっても、提供先(DMPやCDPの利用企業など)でCRMデータと紐付けるような場合は、提供先での同意が必要になる」。

なお、リクナビの問題を受けて、個人情報保護委員会ではなく、公正取引委員会の方で、GDPR/CCPA並のCookie規制を検討する動きも、昨秋見られていました。こちらについては、その後、新しい動きは報じられていないようですね。

ーーまあ、Cookie利用については、法律で制限される前に、ブラウザの方で制限されるようになっていますしね

ええ、そうです。すでに、Cookieを中心としたデジタルマーケティングが時代遅れになりつつあります。そういう意味では、いまのところ過度な懸念は不要でしょう。「法律の改正よりも、サードパーティCookieが使えなくなる日に備えて、Googleの『プライバシーサンドボックス(Privacy Sandbox)』や、ゼロパーティデータへの対応を進めたほうが良い」と、太田氏も語っています。

ただ、そうした流れと相まって、ブランドもパブリッシャーも、ユーザーと直接やりとりする企業が増えています。特にサブスクリプションなどの会員情報として取得対象となりやすい、氏名、生年月日、住所、顔写真など、特定の個人を識別できる情報を扱っている企業は、この法律の対象となります。そういった企業は、これまで以上に注意が必要です。なにしろ、最大1億円の罰金ですからね。

ーーわかりました。では、今回は「閣議決定」ということですが、今後どのような手順で施行に至るのでしょう?

閣議決定とは、内閣の全閣僚の合意を得たという意味です。ここから、国会での審議を経て、法律として成立し、実際の施行に至ります。

「前回の『改正個人情報保護法』は、2015年3月10日に閣議決定し、同年9月9日に成立・公布された」と、データサインの太田氏は説明します。「その後、実際に全面施行されたのは、2017年5月30日だ」。

このステップを踏まえると、今回の改正案も、今秋には成立・公布され、2年後の春先くらいに全面施行されるのかもしれません。しかし、コロナ禍や東京オリンピックなど、さまざまな不確実なことが山積しているいま、なんともいえないところでしょう。

ちなみに、前回の改正案は、オリジナルの個人情報保護法の施工(2005年)からちょうど10年後に成立しました。その際に、今後は3年ごとに見直しがされるという規定が盛り込まれています。前回の改正案が全面施行されたのが2017年ですから、その3年後の2020年、今回あらためて見直されたわけです。なので、さきほどの読み通り2022年に施行されたら、その3年後の2025年には、さらに新しい改正案が検討されると思われます。

※記事公開後、一部記事内容を更新しております。

Written by 長田真
Photo from Shutterstock