3月10日に閣議決定された「個人情報保護法」の改正案
3月10日、「個人情報保護法」の改正案が閣議決定された。嶋田氏はまず、その概要について次のように説明した。
「改正案の概要については、個人情報保護委員会の改正案閣議決定を告知するWebサイトで、関連資料の中の『概要資料』というPDFをご覧いただくのが一番わかりやすいでしょう。改正案では、無条件での権利行使を消費者に認めている欧州のGDPRと異なり、『個人データの取り扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合』などの条件下で、個人データの利用停止や第三者への提供の停止を請求できると定められました」(嶋田氏)
2019年12月に公表された大綱では、個人データの利用の停止・消去・第三者への提供の停止についての請求があった場合には原則として対応する義務が発生するような方針が打ち出されていたが、その後のパブリックコメントなどの議論を経てこのような形になったとのことだ。
改正における3つのポイント
この条文に加えて、さらに重要な個人情報保護法の改正ポイントについて、嶋田氏は3点をあげた。
(1)消費者にとっての透明性
(2)消費者によるコントロール権
(3)消費者保護
まず今回の改正案では、「消費者にとっての透明性」が強化されているという。透明性を考える際には「同意の内容」はもちろんのこと「同意の取り方、記録」にも注意が必要である。昨年ある「就活サイト」で個人情報を取得する際の「同意の取り方」が問題となった。一部のユーザーに対して、第三者提供の許諾が取れていなかったことが後から判明。サイト開設前の準備期間中に事前登録しておいたユーザーが本登録するまでの間に、利用規約が改定されていたことも明らかになった。新しい利用規約に同意していなかったユーザーは当初8,000人と発表していたにもかかわらず、後日26,000人と大幅に訂正されたことも世間の不審感を募らせる一因となった。
「個人情報を扱う事業者は、全ユーザーがいつ・どのような利用規約に同意したのかについて、すべて漏れなく把握しておかなければなりません。そしてその同意が取れているユーザーに、同意に則った範囲で個人情報を扱うことを徹底しなければならないのです。事業責任者にはその責務があります」(嶋田氏)
多くの企業がこのケースをきっかけに改めて自社の「同意管理」について確認することになったと嶋田氏はいう。
このケースでは「同意内容が不明瞭」であったことも大きな問題となった。利用規約内では「個人を特定したうえで個人情報や行動履歴を分析・集計し、利用することがある」と書かれていたが、その一方で「行動等は予め許諾を得ない限り共有しない」「選考に利用されることはありません」とも書かれていた。
「従来は問題がないとされた利用規約であっても、今後はユーザー自身が自分のデータがどのように利用され、どのような影響があるかを理解できないような場合には見直しが必要になるでしょう。ましてやユーザー自身の将来に影響を及ぼす可能性がある場合は、今後、個人情報の利用方法や処理方法の明示義務はより厳しくなっていくのではないでしょうか。
開示請求についても、今回の改正案ではユーザーが望めばデジタル上で開示しなければならないという風に変わりました。開示請求については2018年12月にもガイドラインが改定されています。個人情報保護法の改正は3年に一度ですが、ガイドラインは数ヵ月単位で変わっていくので欠かさずチェックすることをお勧めします」(嶋田氏)
たとえば、Google IDの場合、アカウント管理画面から、提供しているデータや利用しているアプリ、YouTubeでどのような動画を閲覧したかなどの履歴をすべて見ることができる。それはすべてユーザー自身が自分の手で消去できるが、こうした処理が国内の一般的な企業でも行われるようになるときがいずれ来るだろうと嶋田氏は話した。