インターネットイニシアティブ(IIJ)は8月5日、2022年4月1日より施行される「令和2年改正個人情報保護法」のガイドラインが2021年8月2日に公表されたことを受け、世界各国のプライバシー保護規制への対応を支援するプライバシー保護対策関連サービスを拡充し、同改正法への対応メニューを追加したと発表した。

また、Cookie(クッキー)規制対応に必要なクッキーバナー・ツールの企業への導入を推進するためのパートナープログラム「クッキーバナーソリューション・パートナープログラム」も開始する。

同社は2020年にクッキーバナーを250ライセンス、2021年度第1四半期のみで156ライセンスの販売を行っており、うち約3割の45社から導入支援の依頼を受けている。今回の法改正のガイドラインが公表されたことにより、ライセンスの導入がさらに加速すると同社は見込む。

「法的義務への対応の枠を超えて、消費者の目が厳しくなってきている。消費者から選ばれるために、より高い透明性と本人関与機会の提供がプライバシー保護を重視する企業姿勢を示す上で重要となってきたことが、クッキーバナーの導入が急増している背景と考えられる」と、IIJビジネスリスクコンサルティング本部長の小川晋平氏は現状を説明した。

  • IIJビジネスリスクコンサルティング本部長の小川晋平氏

小川氏によると、同改正法は、企業に実務的な法規制対応が求められる内容となっているという。個人情報の取扱いに関する透明性の高い情報開示、および利用者本人がそれらの情報を理解した上で同意するかどうかなどを決定できる本人関与の機会の確保が重要になる。

今回の法改正により、個人に関する情報ではあるが、「個人情報」ではないもの(個人を識別できないWeb閲覧履歴、購買履歴、位置情報、アプリ行動履歴など)を第三者に提供し、提供先がその情報を「個人データ」として取得することが想定される場合、本人同意取得を確認・記録する義務が新たに追加される。

どのような場面で適用されるかというと、典型的なのは、DMP(Data management platform)などからサードパーティデータを購入する場合だ。例えば、メディアやブランド企業のB社が、DMPを提供するA社から個人関連情報のデータベースを購入し、IDなどを使ってB社内の個人データと結合できる場合、原則データ元の本人の同意が必要になる。

  • 個人関連情報の第三者提供制限の適応例

また、個人データを外国にある第三者へ提供する際の企業の情報提供義務、相当措置義務が強化される。具体的には、移転先国の個人情報保護制度に関する継続的な情報提供が必要になるとともに、移転先との契約などによる個人情報保護措置の継続実施が求められる。

さらに、個人データの漏えいなどのインシデント発生時、一定の条件のもとに個人情報保護委員会への報告が義務化される。

【関連記事】
≪ヤフーが描く、これからのDX人材とCookieレス時代のデータ利活用≫
≪Chrome、サードパーティCookie廃止を先送り≫

これらの法改正に対応するために、IIJはプライバシー保護に関連するサービス群において、プライバシー保護対策の実装を支援するメニューを新たに追加した。

個人関連情報の第三者提供の制限については、「IIJプライバシー保護規制対応ソリューション」において、改正法における新たな規制の適用要否の判断や、業務の実態に即した合理的な遵守対応・実装方法に関する情報を企業に提供する。クッキーバナー・ツールの実装・運用については、「IIJクッキー同意管理バナー導入支援」でサポートする。

また外国にある第三者への個人データ提供の規制強化に対しては、「IIJビジネスリスクマネジメントポータル(BizRis)」において、主要40カ国以上の現地法で定められているプライバシー保護制度の最新情報を提供する。

移転先国の制度に即した情報提供義務の遵守やユーザーからの開示要求についても適切な対応が可能になるとし、情報は四半期に一度更新し、対象国も随時拡大しているとのことだ。

個人データの漏えいなどの報告の義務化に関しては、「IIJ有事対応支援サービス」を同法改正に対応させ、個人データ漏えいなどのインシデント発生時、個人情報保護委員会への報告を支援する。当局対応や本人対応を含め有事対応として行うべき作業に関するアドバイスを行う。

同サービスは、日本、EU、英国、シンガポール、米国カリフォルニア州での当局対応・本人対応に関する支援を行っており、今後対応する国・地域を順次拡大していく方針だ。各サービスにおける対応メニューは以下の通り。

  • 各サービスにおける対応メニュー