同意管理プラットフォーム(CMP)は、Webサイトやアプリを利用するユーザーに、データの収集や利用目的を明示し、その同意を得るための技術です。あるいはその同意管理の仕組みを提供するツール・サービスを指します。
主には下記のような機能を備えています。
- Cookie同意管理バナーの作成・実装
- ユーザーの同意状況の管理・分析
- 同意情報に基づく各種タグ、Cookieの発行
- 既存のマーケティングデータと同意データの紐づけ
本記事では、同意管理プラットフォーム(CMP)について、同意管理の考え方から、求められる役割・機能をわかりやすく解説しています。また、ツールやサービスの比較検討時に押さえておきたいポイントも紹介していますのでぜひご参照ください。
同意管理プラットフォーム(CMP)を導入するには、まずは「プライバシーポリシーにどのような規約を載せるのか」「個人情報をどのように管理するのか」といった検討が必要になりますが、同時に自社に合ったツールやサービスを検討しておくことをおすすめします。
CMPにも複数のサービスやツールがあり、それぞれを検討・比較するにも多くの時間がかかるためです。
「【比較表あり】おすすめの同意管理プラットフォーム(CMPツール)4選」では、実際にサービス・ツールを利用したことのあるユーザーのリアルな口コミ・評価をもとに厳選した、4つのサービスをご紹介しています。
また、サービス・ツールのメリットやデメリット、搭載している機能が一目でわかる比較表もつけているので、併せてご覧ください。
個人情報保護法の改正と日本企業への影響(2022年4月施行)
2022年4月に「改正個人情報保護法」の全面施行が行われ、多くの企業が対応を始めています。個人情報保護法は、企業規模や個人情報の数にかかわらず「個人情報を取り扱う全ての事業者」が適用対象です。
今回の法改正は「3年ごとの見直し」に基づく公布・施行ですが、近年の個人情報をめぐる環境の変化は目まぐるしく、「改正個人情報保護法」の変更点をキャッチアップするだけでも労力を要し、何から検討して着手すべきか悩んでいる企業も多いのではないでしょうか。
ここでは、「改正個人情報保護法」による変更点について、企業が取るべき対策と合わせてポイントを押さえた要約解説をしていきます。
個人情報保護法の改正のポイント
以下は、2022年4月施行の個人情報保護法改正について、6つのポイントを改正内容とともに一覧化したものです。
| 改正のポイント | 内容 |
| 1.個人の権利保護の強化 | ・6ヶ月以内の短期保有データも保有個人データに含める ・保有個人データの開示方法(書面・デジタル)を本人が指定できる ・利用停止、消去に対する個人の請求権を拡充する ・個人データ授受に関する第三者提供記録を本人が開示請求できる ・オプトアウト規定で第三者に提供可能な個人データを限定する |
| 2.事業者が守るべき責務の追加 | ・個人データ漏洩時の報告が義務化される ・不適正な個人情報利用の禁止が明文化された |
| 3.企業の特定分野(特定部門)を対象とする認定団体制度の新設 | |
| 4.データ利活用の促進 | ・「仮名加工情報」について事業者の義務が緩和される ・提供先で個人データとなり得る情報に対する本人同意の確認が義務化される |
| 5.法令違反に対する罰則強化(※2020年12月より施行) | |
| 6.外国の事業者に対する法令適用、罰則追加 |
全体を通して大きな変化が見られたのは、以下のように「本人が請求できる対象」と「本人への情報提供や同意取得の対象」が拡大したことです。
- 本人が、個人データの利用記録や管理状況の開示をいつでも事業者に請求できる。
- 本人が、個人データの利用停止・消去・第三者提供の停止を請求できる条件が緩和される。
- 事業者は、個人データの収集や利用目的、第三者への提供について、本人同意を取得しなければならない。
- 提供元で個人データに該当しないものでも、提供先で個人データとなり得る情報の第三者への提供について、本人同意が得られていることを確認しなければならない。
ここでの「第三者」とは、原則、個人データを提供した本人と、それを取り扱う事業者以外のすべての人・事業者を指し、「提供」とは、個人データを、自社(事業者)以外の者が閲覧・利用できる状態に置くことを言います。個人データの取得時に第三者提供が予想される場合は、あらかじめ包括的に同意を得ておくことも可能です。
また、「個人データに該当しないもの」とは、「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」を指し、具体的には、クッキー(Cookie)情報、インターネットの閲覧履歴、IPアドレスなどが該当します。
旧法では、明言されていなかったクッキー(Cookie)の取り扱いが、改正法によって明確なルールが定められることになります。クッキーは、ブラウザとサーバーとの間の通信状態を管理する実装技術であり、クッキーそのものは個人情報ではありません。
しかし、氏名やメールアドレスなどの個人を識別しうる情報に、クッキーで取得したブラウザIDが関係づけられれば、クッキーは識別され得る個人に関する情報、つまり「個人データとなり得る情報」となり、本人同意の確認義務が生ずるのです。
個人情報保護法改正で生じる企業への影響
同意管理の徹底を含め、今回の改正個人情報保護法で最も急ピッチで進めるべき対策は下記と考えられます。
企業は、個人データの格納場所や利用状況を一元的に管理し、個人データに関する開示請求を受けた際には即座に対応できる状態でなければならない。
「改正個人情報保護法」では、個人の保護権利がより強化され、本人が請求可能な個人データの対象が拡大します。対する企業側は、第三者提供記録の開示や利用停止などの申し出に速やかに対応するための運用体制を整えておかなければなりません。
「そもそも現状でどのような個人情報を保有しているのか」「各部門で第三者提供時の記録は徹底されているのか」と、既存の個人データの棚卸から実施する必要があります。「複数部署を横断する連携体制や責任分界点が決まっていない」といった自社のプライバシーポリシーの改訂課題も出てくるでしょう。
持続可能な体制構築へ向けたプライバシーテックの活用
組織内で取り扱う膨大な個人データを集約し、一元的に管理・運用を行うには、同意管理プラットフォーム(CMPツール)のような、「プライバシーテック(個人のプライバシーを保護し、企業による個人情報データの利活用を効率化するテクノロジー)」を用いたツールの活用が有効です。
日本の個人情報保護法だけでなく、欧州のGDPRや米国カリフォルニア州のCCPAなど、各国規制を遵守しながら、個人情報データの収集と管理を安全に行うことができ、情報開示にも迅速に対応することができます。
改正個人情報保護法への対応において、プライバシーテックの導入は義務ではありませんが、煩雑さの一途をたどる個人情報データの適正な管理と利活用を両立しながら、今後も変容し続ける外部環境へ柔軟に対応できる持続可能な運用体制を構築するには、ツール導入を検討せざるを得ないといったところでしょう。
同意管理プラットフォーム(CMP)とは
同意管理プラットフォーム(CMP:Consent Management Platform)とは、同意管理の仕組みを形成する技術インフラです。
- Consent=同意を
- Management=管理する
- Platform=基盤(プラットフォーム)
自社が提供するオンラインサービス(Webサイトやアプリケーション)を訪問する顧客に対し、それらの顧客から同意を得た上で個人情報データの収集や利用を行うための一連の仕組みや技術を提供します。
そもそも同意管理とは
まず大前提として、ユーザーがオンラインサービス(Webサイトやアプリ)に訪問した際に発生するデータは、サービス提供者(企業側)ではなくユーザーに属するものです。
それらのデータの収集や利用に対する「同意」「拒否」の選択権を持っているのはユーザーであり、いつでもその意思を変更することができます。
同意管理とは、その名の通り、ユーザーの同意状況を管理することです。データを提供するユーザーとデータを利用する企業との間の約束ごとを表明し、それに対するユーザーの意思を正しく管理します。
同意管理プラットフォーム(CMPツール)の役割
同意管理プラットフォーム(CMP)は、同意管理を行う一連のプロセスの一部をシステム化する技術、またはそれを提供するツール・サービスです。「CMPツール」「クッキー同意管理バナー」「同意管理ツール」とも呼ばれることもあります。
以下のような、同意の取得や管理、収集データの選定や利用に関する作業を自動化・簡略化します。
- 訪問者に対してデータ利用の同意を求めるバナーを表示する
- アクセス元のIPにより、同意取得のバナーを出し分ける
- データの利用目的別に「同意」「拒否」を選択可能にする
- 同意状況を管理し、外部システムに連携する
- 自社サイトのタグやCookieをスキャンし、オプトアウトリストを自動生成する
同意管理プラットフォーム(CMP)を活用することで、人為的ミスのリスクや管理工数を削減し、安全な同意管理とデータ運用を実現することができます。
同意管理プラットフォーム(CMPツール)の導入は必須か?
直近で、同意管理プラットフォーム(CMP)の導入是非が議論され始めたのは、2022年4月より全面施行された個人情報保護法の改正によるものでしょう。
結論、同意管理プラットフォーム(CMP)の導入は必須ではありません。しかし今回の個人情報保護法の改正により、全ての企業が、自社の個人情報データ取り扱い体制の見直しをすることは避けられず、その体制構築の際には何らかのCMPツールを利用する方がメリットが大きいと想定されます。
今回の改正において、特にWebサービス上の同意管理に関連するポイントを1つ簡単に言うとすれば、「企業は、ユーザーから個人情報データに関する開示請求を受けた際、即座に対応しなければならない」です。
つまり、顧客の個人情報データの出入りを一元的に管理しておくことが求められます。ここで注視したいのが「一元的な管理」です。部門や施策ごとに別のシステムを利用しているケースも少なくないでしょう。
法令改正後には収集データ別・利用目的別の「同意情報」もシステム間で連携しなければならなくなります。企業がデータを介した顧客体験の向上を実現するには、煩雑な同意管理を徹底して顧客の個人情報データを収集する必要があるのです。
しかしながら、同意状況を含めた顧客データの一元管理を内製でシステム化するのは、時間もコストも現実的ではありません。これが、「同意管理にツールは必須ではないが、利用することが望ましい」とする理由です。
同意管理プラットフォーム(CMPツール)の基本機能
同意管理プラットフォーム(CMPツール)の導入目的は、自社サイトにCookieの使用同意を求めるポップアップを実装することだけではありません。同意取得の仕組みはもちろんのこと、同意データの管理やマーケティング施策への利活用を行うための機能が搭載されています。
ここでは、ツールの導入メリットをより具体的にイメージしやすくするため、代表的な機能を例に挙げて活用方法とともに解説します。※機能名称や内容、搭載の是非はツールによって異なることをご容赦ください。
1. 同意取得とデータ管理
同意管理プラットフォーム(CMP)の最も基本的で主要な機能です。Webサイトやアプリに訪問したユーザーに対して、Cookie情報を収集・記録することの許諾を求め、同意状況を記録します。多くの場合は、WebサイトへのHTMLタグの埋め込みなどの簡単な方法で、導入初期からすぐに同意取得対応が可能です。
ユーザーは、自身のデータがどのような目的で、どの企業に収集・利用されているかを把握し、その目的や連携先に応じて提供するデータを制限したり、利用方法をコントロールしたりすることができるようになります。
企業側は、連携先企業(サードパーティーベンダー)ごとに、収集データの種類とそれぞれの利用目的を設定することで、ユーザーの同意状況によってデータの取得や遮断を実行可能です。
2. 外部システム・API連携
ツールによって連携可能なサービスは異なりますが、タグマネージャーやCDP(プライベートDMP)、CRMといった外部システムと連携した同意状況の管理も可能です。
各マーケティングデータに同意状況を紐づけて管理することで、個人データの取り扱いを適正に保ちながら、顧客分析や広告運用などを行うことができます。
3. 法改正対応の自動アップデート
日本国内の個人情報保護法をはじめ、各国のプライバシー保護に関する法規制に改正があった場合、CPMツールの設定やシステムも改正後の同意取得方法に準拠するよう、ベンダーが随時アップデートを行います。
4. 同意取得バナーの配信設定
訪問者のアクセス元(国・地域)やデバイスに応じて、各規制に準拠するように作成された同意取得バナー(ポップアップ)を出し分けることができます。規制の異なる対象地域を横断して同意取得が求められるWebサイトに有効です。
5. Cookieスキャン機能
各国別ポリシーWebサイトをスキャンし、使用されているCookieやその他のトラッキング技術を自動検出する機能です。オプトアウトリストが自動生成されます。
同意管理プラットフォーム(CMPツール)の選び方・比較ポイント
同意管理プラットフォーム(CMPツール)を比較・選定する際にチェックしておきたいポイントは下記4点です。
- 各国規制への対応(GDPR・CCPAなど)
- Cookie同意取得バナーのカスタマイズ性
- 同意データを連携できる外部システム
- サポート体制(技術支援や規制対応ガイド)
1. 各国規制への対応(GDPR・CCPAなど)
2018年にEUで施行されたGDPR、2020年にアメリカのカリフォルニア州で施行されたCCPAなどを筆頭に、ここ数年で、個人データの保護に関連する法規制が世界規模で強化されています。
同意管理をシステム化する上で最初の課題となるのは、各国で異なる法規制ではないでしょうか。たとえば、GDPRでは利用目的ごとの同意取得に対応しなければなりませんし、CCPAではオプトアウトの機会提供が求められます。
各国のプライバシー保護法に準拠した設定やカスタマイズが可能かどうか、将来的な事業展開も含めてベンダーに確認しておきましょう。
2. Cookie同意取得バナーのカスタマイズ性
ユーザーにCookie同意取得を求めるバナーのデザインや設置場所、表示方式はツールによって異なります。それぞれ自社のWebサイトやアプリケーションにマッチするか、あらかじめ確認しておきましょう。
特にサービスによって違いが出るのは、データの利用目的別に「同意・拒否」を選択可能なパネルのインターフェースです。許諾内容に必要項目が揃っているか、また項目のカスタマイズが可能かどうかも重要な比較ポイントとなります。
3. 同意データを連携できる外部システム
各ユーザーが選択した取得データや利用目的ごとの「同意・拒否」は、全ての社内システムで適用されなければなりません。同意状況によってはマーケティング施策そのものを変えなくてはならないケースもあるでしょう。
各ベンダーの提携状況はまだこれからといったところですので、連携できるツールやサービスが多いことは、現時点では大きな差別的要因にはならないかもしれません。
しかし現状すでに、個人データを取り扱う広告運用ツールや顧客管理システム(CRM)を運用しているのであれば、データベースごとにバラバラで個人データを管理する手間を省くためにも、既存システムとの連携は確保したいところです。
4. サポート体制(技術支援や規制対応ガイド)
同意管理プラットフォーム(CMP)の導入やツール運用には、個人情報保護法や各国の法規制への技術的対応、同意取得・管理のシステム実装、各マーケティングツールとのデータ連携といったさまざまな分野の専門的な知見が必要とされます。
導入サポートやツールに関する質問などの技術的支援、規制ガイドラインや法務コンサルティングなど、自社の人材リソースやITリテラシーで運用しうるサポート体制が整っているかどうかは大きな差別化ポイントとなるでしょう。
海外サービスの場合は、問い合わせの手段や時間帯、担当者(技術者か法務専門か)、サポートを受けられる言語をあらかじめ確認しておくべきです。
【比較表あり】おすすめの同意管理プラットフォーム(CMPツール)4選
現在リリースされている同意管理プラットフォーム(CMPツール)の中から、導入実績や各国の法対応、サポート体制などの要素を満たした、おすすめのCMPツールを厳選して紹介します。
まずは比較表にて機能や料金プランなどの基本情報をまとめました。自社の導入状況に合わせてツールを選ぶ参考にしてください。
| Soursepoint | Webtru | Trust360 | OneTrust | ||
| 月額料金 | 要問合せ | ライトプラン:5,500円~/月 | プロプラン:11,000円~/月 | 50,000円~/月 | 6,930円~/月 |
| 初期費用 | 要問合せ | 無料 | 無料 | 100,000円 | 無料 |
| 国産/海外産 | 海外産 | 国産 | 国産 | 国産 | 海外産 |
| GDPR対応 | 〇 | ― | 〇 | 〇 | 〇 |
| CCPA対応 | 〇 | ― | 〇 | 〇 | 〇 |
| 多言語対応 | 〇 | 〇 (日英独仏の4か国) | 〇 (日英独仏の4か国) | △ (言語数によって追加料金) | 〇 (100か国以上) |
| UIのカスタマイズ性 | 〇 | △ | △ | △ | △ |
| API連携 | 〇 | 〇 | 〇 | △ (要開発) | 〇 |
| タグマネージャー連携 | 〇 | 〇 | 〇 | 〇 | 〇 |
| 個人情報保護法対応 | 〇 | 〇 | 〇 | 〇 | 〇 |
| 日本語サポート | △ (初期設定サポート) | 〇 | 〇 | 〇 | 〇 |
| 無料トライアル | ― | 〇 (30日) | 〇 (30日) | ― | ― |
以下からは4つのCMPツールのサービス内容や特長について、具体的に紹介していきます。
Soursepoint|Webやアプリ、AMP、CTVなど様々な環境で同意情報を取得できる
出典:Soursepoint
デジタル・アドバタイジング・コンソーシアム株式会社が提供する同意管理プラットフォーム(CMPツール)の「Sourcepoint」は、アメリカのCMP専門ベンダーが開発したCMPツールです。Cookieのほか、顧客IDを使って同意ステータスの管理ができます。そのためWebだけでなくアプリ(iOS/Android)、AMP、CTVなど様々な環境に対応可能。顧客IDの同意管理で、環境を横断した同意ステータスを維持することが可能です。
【特長】
- デザイン機能が充実しており、デザインの変更が可能。サイトに合わせて同意管理バナーのカスタマイズが出来る
- PV単位の従量課金制であるため、複数のドメインを所有している場合、コストを抑えられる可能性がある
【こんな企業におすすめ】
- デバイスを横断して、ユーザーの同意ステータスを管理したい
- ユーザーに同意を求めるポップアップバナーを、サイトのデザインや内容に合わせてカスタマイズしたい
- 複数のサイト(ドメイン)を保有しているが、一サイトあたりのPV数があまり多くない
【サービスのプランと料金】
| プランと料金 | 要問合せ |
| 販売会社 | デジタル・アドバタイジング・コンソーシアム株式会社 |
| 詳細URL | https://3naoshi.com/cmp/sourcepoint/ |
webtru|プライバシー対応に必要なタグの洗い出しを自動化できる
出典:webtru
webtruは、DataSign株式会社が提供する同意管理プラットフォーム(CMPツール)です。本来、CMPツールを使いはじめるためには、対象ドメインを洗い出し、どのようなタグが入っているかを整理し、タグの一覧表を作る必要があります。一方で、webtruではURLを登録するだけで、これらの一覧表を自動で生成してくれるため、作業量を大幅に減らすことが出来ます。
【特長】
- Cookie制御と比較して「外部サービスに通信する」ことに同意を求める仕組みのため、Cookie以外のリファラーや閲覧履歴などの情報も管理することができる。そのためユーザーが同意する項目の範囲が広く透明性が高い
- 面倒なタグの整理や設定が不要で、HTMLの知識がなくても、数行のタグを挿入するだけで簡単に導入が可能。最短数日で使い始められる
- 無料プランのほか、ユーザーの同意状態を管理する同意管理ライト、GDPRに対応した同意管理プロなど自由に組み合わせて利用できる
【こんな企業におすすめ】
- 透明性・安全性が高いツールを導入したい
- 必要な機能だけに絞って、プランを選びたい
- 導入に時間をかけたくない、急ぎ法規制に対応したい
【サービスのプランと料金】
| プランと料金 | ウェブサイト診断 | 無料 |
| 同意管理ライト | 5,500円~/月 | |
| 同意管理プロ | 11,000円~/月 | |
| 販売会社 | DataSign株式会社 | |
| 詳細 | https://3naoshi.com/cmp/webtru |
Trust 360|初心者にも分かりやすいダッシュボードで、簡単に同意のステータスが管理できる
出典:Trust 360
Trust 360はPriv Tech株式会社が提供する同意管理プラットフォーム(CMPツール)です。基本的なGDPR、CCPAに対応しているほか、初心者でも分かりやすいダッシュボードで、データの管理や分析がしやすいのも特長です。また、運用サポートが充実しており、標準で設定・運用サポートが入るほかに、マーケティングのコンサルティングや個人データの取り扱いを監査・評価するレンタルCPOサービスなど、様々な運用サポートをオプションで受けることができます。
【特長】
- 独自のダッシュボードを使って、同意の取得率や取得デバイスなどをグラフ化。Webサイト全体のデータ取得状況をデータで簡単に確認・共有できる
- 初期設定から運用までのサポートが料金に含まれており、タグ・Cookieの利用調査、管理画面上のタグ設定といった作業をPriv Tech社がサポート・代行してくれる
- CMPツールに特化したコンサルティングメニューが充実。「改正個人情報保護法、海外法対応」「プライバシー顧問」「3rd Party Cookie 規制対応コンサルティング」の3つに分かれており、解決したい課題に合わせてサポートを受けられる(※オプション)
【こんな企業におすすめ】
- 取得した同意データを、CDPや解析ツールと連携して管理したい
- CMPツールを導入したことがない初心者で、初期の設定から運用まで手厚くサポートしてほしい
- 同意データの取得率がどれくらいか、どんなデバイスから来ているか、難しい操作なしで簡単に確認したい
【サービスのプランと料金】
| プランと料金 | 初期設定費用 | 100,000円 |
| 月額利用料 | 50,000円~ | |
| 販売会社 | PrivTech株式会社 | |
| 詳細 | https://3naoshi.com/cmp/trust-360 |
OneTrust|プライバシー保護やセキュリティに関連する世界中の法律・フレームワークに対応
出典:OneTrust
OneTrustは、株式会社インターネットイニシアティブが提供する同意管理プラットフォーム(CMPツール)です。2022年3月時点で全世界で10,000社の導入実績があり、GDPR や CCPA など海外のプライバシー法規制に対しても対応しています。また、日本語のサポートも充実しており、クッキーツールの導入マニュアルや運用ガイドが無料公開されています。
【特長】
- クッキー発行元ベンダーが登録されている世界最大規模のデータベース「Cookiepedia」を持っており、サービスと連携することでクッキーの自動分類が可能に。どこにどんな内容のCookie情報が入っているか、導入までの調査工数を大幅に減らすことができる
- CCPA、GDPR、LGPD、ISO27001/27701、NIST等世界中のプライバシー保護やセキュリティに関連する法律・フレームワークに対応
- 100ヶ国以上の多言語に対しテンプレートで簡単に対応できる
【こんな企業におすすめ】
- 実績・信頼のあるツールを、低価格で手軽に導入したい
- 海外にサイトを展開しており、各国のクッキー規制やプライバシー法規制に対応したい
- クッキー規制にどのように対応すればいいか分からず、勉強しながら導入を進めたい
【サービスのプランと料金】
| プランと料金 | 月額利用料 | 6.300円 |
| 販売会社 | 株式会社インターネットイニシアティブ | |
| 詳細 | https://3naoshi.com/cmp/onetrust |
まとめ|データ利用の透明性を確保し、より良い顧客体験の提供を
同意管理プラットフォーム(CMP)は、個人情報データの取り扱いにおける企業と顧客(サービス提供者とユーザー)との信頼関係構築をテクノロジーでサポートするツールです。
サービス訪問時に発生する全てのデータとその取り扱いは個人に属するものであり、いくら企業側が「顧客体験の向上のためのデータ活用」と主張したところで、何の信頼関係もなく自発的に個人情報データを利用して欲しいと思う人は稀でしょう。
顧客が同意することによって顧客自身にもメリットがあるのか、進んで同意したくなるような価値提供ができるのか、といった観点を大切にしながらCMPツールの導入検討を進めてみてください。
個人情報保護法改正の変更点【詳細解説付き】
2022年4月施行の個人情報保護法の改正ポイントは、大きく6項目にまとめられます。
- 個人の権利保護が強化される
- 事業の守るべき責務が追加される
- 企業の特定分野(特定部門)を対象とする認定団体制度が新設される
- データの利活用が促進される
- 法令違反に対する罰則が強化される
- 外国の事業者を対象とする罰則が追加される
1. 個人の権利保護が強化される
個人の権利利益の保護に対する必要な措置を整備するために以下の変更が加えられます。
- 6ヶ月以内の短期保有データも保有個人データに含める
- 保有個人データの開示方法(書面・デジタル)を本人が指定できる
- 利用停止・消去、第三者への提供禁止に対する個人の請求権を拡充する
- 個人データ授受に関する第三者提供記録を本人が開示請求できる
- オプトアウト規定で第三者に提供可能な個人データを限定する
(1) 6ヶ月以内の短期保有データも保有個人データに含める
個人情報を取り扱う事業者は、「保有個人データ」について、本人からの開示請求および消去・利用停止などの請求に応じる義務などを負っています。
保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用停止、消去および第三者提供の停止等の権限を有する個人データのことです。いくつか除外事由があり、現行ルールでは、6ヶ月以内に消去される短期保存データは、保有個人データに含まれていません。
改正後は、短期保存データも保有個人データとして扱われるようになります。たとえ短期間であっても、消去されるまでの間に個人情報として漏洩すれば、本人にとって多大な損失を被る可能性があることから、改正法では本人が請求すればデータの開示請求、訂正・利用停止などに応じることが義務化されることとなりました。
(2) 保有個人データの開示方法を本人が指定できる
保有個人データの開示を本人に請求された場合、事業者はその開示に応じなくてはなりません。以前は、この開示方法が書面交付のみに限られていましたが、情報量(データ量)が膨大であったり、音声・動画データが保有個人データに含まれていたりと、そもそも書面交付に適さないケースが増えてきています。
そこで、開示請求から回収した保有個人データの保存や利用などにおける、本人の利便性を鑑みて、今回の改正からデジタルデータを含め、保有個人データの開示方法を請求した本人が指定できるようになりました。
事業者は原則、本人が請求した方法によって開示する義務を負いますが、対応が困難だと認められる場合(たとえば、多額の費用を要するような開示方法を請求され、代替できる開示方法が他にある場合など)は、書面交付による開示も認められるといった、事業者への負担軽減措置も準備されています。
(3) 利用停止・消去、第三者への提供禁止に対する個人の請求権を拡充する
現行法では、利用停止・消去・第三者提供の停止といった請求権を個人が行使できるのは、一定の法違反がある場合に限られていました。
- 個人データを目的外で利用したとき
- 個人データを不正な手段で取得したとき
- 本人の同意なく、第三者に提供した場合(外国を含む)
新法では、上記に加えて以下のようなケースにおいても、利用停止・消去・第三者提供の停止を請求できるようになります。
- 本人の個人情報を取扱事業者が利用しなくなった場合
- 保有個人データの漏洩などが発生した場合
- 本人の権利または正当な利益が害されるおそれがある場合
本人が知り得ないところで、または望んでいない形で個人情報が利用されている恐れがあるにもかかわらず、利用停止請求ができないという状態が問題視されていたことが改正の理由です。
一方で、事業者側が利用停止等の措置を行うことが困難で、かつ本人の権利利益が保護される代替措置が取られている場合には、利用停止等の措置は不要と定められました。本人の権利保護と事業者の負担軽減の両観点を考慮した規定となっています。
(4) 個人データ授受に関する第三者提供記録を本人が開示請求できる
新法では、個人データを提供した本人が、第三者提供記録を開示請求できるようになります。現行では、本人による第三者提供記録の開示請求権はありません。
第三者提供記録とは、法令で定められた個人データの第三者提供に関する記録です。第三者に個人データを提供する事業者と提供を受ける事業者ともに作成が義務付けられています。
これまで第三者提供記録は、不正な手段による情報流通を抑止するための監督機関による追跡を図るものとして利用されていました。今回の法改正は、事業間で個人データがどのように流通しているのか、本人による追跡可能性を考慮したものとなります。
(5) オプトアウト規定で第三者に提供可能な個人データを限定する
オプトアウト規定とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目などを公表した上で本人の同意なく第三者に個人データを提供できる制度です。
現行法では、要配慮個人データに該当する個人データがオプトアウトの対象外とされています。改正法では、要配慮個人データに該当する個人データに加えて、以下の個人データがオプトアウトの対象外となります。
- 不正な手段で取得した個人データ
- オプトアウト手続で取得した個人データ
オプトアウト規定は、2015年改正において、個人情報保護委員会への届出が必要となるとともに、本人に知り得る機会の提供がなされるように改正されましたが、オプトアウトの届出をせずに提供者が無断で個人データを持ち出したり、一部事業者同士で名簿を取引したり、本人が提供した覚えのない形で流通している実態がありました。
このことから、事業者が守るべき責務や罰則強化も合わせて、今回の改正でオプトアウト既定をさらに厳格化する運びとなっています。
2. 事業の守るべき責務が追加される
事業者が守るべき責務の在り方について、以下の2点が追加されます。
- 個人データ漏洩時の報告と本人通知が義務化される
- 不適正な個人情報利用の禁止が明文化された
(1) 個人データ漏洩時の報告・本人通知が義務化される
今回の改正で、事業者の責務として、以下のような個人データの漏洩、滅失、毀損などの発生時、もしくは発生した恐れがある事態における個人情報保護委員会への報告義務が新たに追加されます。
- 不正アクセスによる個人データの漏洩
- システムの不備による個人データの大量流出
- 個人データを記録したUSBメモリの紛失や置き忘れ
- 個人データを閲覧可能なシステムのアクセス情報の漏洩
以前まで、報告は企業の個別対応に委ねられていましたが、諸外国の標準的な対応とも照らし合わせて、現行法の改正にいたりました。
本人への通知が困難かつ本人の権利の保護のために必要な代替措置を取っている場合を除き、個人情報取扱事業者は、個人データの漏洩が発生した際に本人通知の義務も課されます。
ほかの個人事業取扱事業者から個人データの取り扱いの委託を受けている場合は、漏洩が発生したことを委託元である事業者に通知することで、この報告義務は免除されます。
(2) 不適正な個人情報利用の禁止が明文化された
これまで法律上明文化されていなかった、個人情報の不適正な利用の禁止が定められました。不適正な利用とは、「違法行為を営む第三者への個人情報の提供」といった相当程度の悪質なケースが挙げられます。
現行ルールで、違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用が行なわれていた実態があることから、今回の法改正に至っています。
3. 企業の特定分野(特定部門)を対象とする認定団体制度が新設される
個人情報保護法では、個人情報保護委員会のほかに、民間団体を利用した情報保護を図っており、認定個人情報保護団体制度を設けています。
個人情報の取り扱いに関する苦情処理のほか、個人情報の適正な取り扱いの確保に関する必要な業務などを行う団体は、個人情報保護委員会から「認定個人情報保護団体」の認定を受けることができます。
旧法での認定団体制度は、対象事業者の全ての分野(部門)における個人情報の取り扱いに対応できる団体にのみ認定を行っていましたが、法改正によって、企業の特定分野(部門)を対象とする団体を認定することが可能になります。
業務実態の多様化やIT技術の進展に伴い、事業単位での認定団体を認めることによって、分野ごとの専門性を活かしたより高い水準の個人情報保護が推進されることを狙いとしています。
4. データの利活用が促進される
個人データの適正な利活用の在り方として、以下の2点の規定が新設されます。
- 「仮名加工情報」について事業者の義務が緩和される
- 提供先で個人データとなり得る情報に対する本人同意の確認が義務化される
(1) 「仮名加工情報」について事業者の義務が緩和される
仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別することができないように、個人情報を加工して得た個人に関する情報です。たとえば、「氏名、電話番号、メールアドレス、情報登録日」のうち、氏名をID番号に変更したり、メールアドレスと電話番号を削除したりして、個人を特定できない情報に変換します。
これまでは、個人を特定できない情報に変換した仮名加工情報も、個人情報に該当するとされていたため、利用目的の特定、制限、通知・公表の義務といった個人情報と同様の対応が必要とされていました。
新法では、仮名加工情報の作成方法に関して、以下の措置を最低限の規律とし、開示・利用停止請求への対応や漏洩時の報告などについて、個人情報ほどの厳格な取り扱いが免除されます。
- 特定の個人を識別することができる記述の全部または一部の削除(置換を含む)
- 個人識別符号の全ての削除(マイナンバー、パスポート番号など)
- 不正に利用されることにより、財産的被害が生じる恐れのある記述(クレジットカード番号など)の削除
尚、仮名加工情報の第三者提供は原則禁止とされています。(個人情報保護法委員会|個人情報保護法令和2年改正及び令和3年改正案について 14ページ)
(2) 提供先で個人データとなり得る情報に対する本人同意の確認が義務化される
本人が認識していないところで、個人情報の収集や拡散が起こらないように、事業者間の情報のやりとりに対する確認義務が新たに新設されます。
提供元では個人データに該当せずとも、提供先で個人データとなり得る情報と判断される場合、提供元は、本人同意が得られていることを提供先に確認しなければなりません。
多方から大量に集積したユーザーデータを照合することで個人データとする技術プラットフォームが普及する中、提供先において、集めたデータが個人データとなることを知りながら、本人同意を得ないまま非個人情報として第三者に提供する事例が見られたことから、今回の確認義務を設ける法改正に至りました。
5. 法令違反に対する罰則が強化される
法令違反の事案が増加する中、報告徴収や立入検査の実効性を高めることを目的とし、以下のような法令違反に対する罰則の強化が行われます。
- 個人情報保護委員会からの措置命令違反、虚偽報告などの法定刑の引き上げ
- 法人に対する罰金刑の最高額の引き上げ
| 懲役刑 | 罰金刑 | ||||
| 現行 | 改正後 | 現行 | 改正後 | ||
| 個人情報保護委員会からの命令への違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
| 法人等 | - | - | 30万円以下 | 1億円以下 | |
| 個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
| 法人等 | - | - | 50万円以下 | 1億円以下 | |
| 個人情報保護委員会への虚偽報告等 | 行為者 | - | - | 30万円以下 | 50万円以下 |
| 法人等 | - | - | 30万円以下 | 50万円以下 |
個人情報保護法委員会|個人情報保護法令和2年改正及び令和3年改正案について (18ページ)
法人に対し、行為者と同額の罰金を科したとしても、罰則として十分な抑止効果が期待できないとし、特に法人に対する罰金刑の上限額が大幅な引き上げとなりました。
6. 外国の事業者を対象とする罰則が追加される
日本国内に住む人の個人情報を取り扱う外国事業者も、報告徴収・立入検査など罰則の対象となります。これまで国内の事業主のみ報告徴収・立入検査の規定が適用されていましたが、改正後は、海外事業者が不適切な個人情報の扱いをした場合には、従来よりも具体的な是正措置が可能になります。
