個人情報の保護に関する法律 – APPI – 日本 | CookieFirst ブログ
目次
データは、高度にデジタル化された現代社会において、その影響力と価値が重要視されています。また、世界中の政府によって制定された様々な情報プライバシー法に見られるように、データは保護されるべきものであると多くの人が考えています。この記事では、日本のAPPI法と最近施行された重要な変更点について検討します。
APPI法について
個人情報の保護に関する法律(Japan Act on the Protection of Personal Information、通称APPI)は、日本国民の個人情報を保護するために制定された法律です。この法律は、社会における情報技術の使用の増加と、それによって生じる悪用の可能性に対応するもので、個人情報の収集、使用、管理について具体的な規則を定めています。この法律は、個人データをどのように収集し、利用し、保護しなければならないかを規定する具体的な規則を定めています。APPIは、データ保護のための規制ガイドラインとして機能するという点で、GDPR などの文書と類似していますが、日本国民のために特別に設計された独自の独立した法律であるという点で異なります。
適用対象者
APPI は、日本国民のデータ・プライバシーを保護することを目的としており、そのため、日本居住者の個人情報 を取り扱うあらゆる組織に適用されます。日本国民の個人情報を取り扱う企業は、その所在地にかかわらず、これらの規則を遵守しなければなりません。ここでいう個人情報とは、生存する個人の身元を明らかにすることができるすべての情報を指します。
新改訂内容
APPIは2003年に採択され、規制する技術の変化に対応するため、長年にわたって何度も改定されてきました。その最新版は、2022年4月1日に発効し、いくつかの新しい修正と条項が含まれています。
今回のAPPI改正は、いくつかの一般的な更新を導入するとともに、より広範な変更を加えることを目的としています。その第一は、個人データに関する個人の権利、第二は、企業の報告義務、第三は、国境を越えたデータ転送の規制です。
日本版APPI改正の概要
個人情報に関する権利|APPI
現代では、データはお金と同じように価値があり、企業はこれまで以上にデータを活用することができます。個人情報は、被害者を容易に侵害し、強要し、詐取することができるため、これらの事業者にとって特に有利な情報です。このことを考慮し、APPIを改正し、個人が個人情報を管理・保護する権利を再定義する新たな文言を制定したのです。
特に、情報の利用停止や削除の権利を個人に与える改正が含まれています。この改正により、法律の対象となる国民は、自分のデータを消去するよう要求できるようになりました。
ガイドラインでは、「個人情報取扱事業者が保有個人データを利用する必要がなくなった場合」、「一定の情報漏えい事故が発生した場合」、「保有個人データを取り扱うことにより…本人の権利または正当な利益を害するおそれがある場合」などに適用すると明記されています。
この改正は、不正に取得・取扱いを行った場合にのみ本データの削除を規定していた以前のバージョンからの変更点です。また、APPIの以前のバージョンでは、6ヶ月以内に消去される予定のデータはこの権利の対象外であるとされていましたが、今回のガイドラインの更新で完全に削除されました。
報告義務
APPIガイドラインの重要な変更点は、個人情報漏えいの報告に関する企業の責任という形で現れています。以前のガイドラインでは報告義務がなかったにもかかわらず、最新のAPPIでは一部のデータ侵害について報告することが義務付けられています。
以下のいずれかに該当する場合、適用されます。
- 機密データを含むデータの漏洩
- 不正に使用された場合、経済的損失につながる可能性のあるデータを含むデータの侵害(オンライン金融サービスのログイン情報、クレジットカード情報の窃盗など)
- 不正な目的で行われた情報漏えい(不正アクセスやランサムウェアの人質として個人情報が盗まれた場合など)。
- 侵害されたデータ対象が1,000人以上である場合
これらの条件は、幅広い状況に適用されるため、APPIの下で多くの企業が期待されることを大きく再定義しています。
前述の条件を満たす情報漏えいが発生した企業は、個人情報保護委員会に報告し、対応策を講じることが義務付けられました。
ガイドラインでは、このプロセスにおいて複数のステップを踏むことが要求されています。
- 事業者は、情報漏えいの発生を組織内の適切な機関に報告するとともに、被害の拡大を防止するために必要な措置を講じなければならない。
- インシデントに関連する事実を調査し、原因を究明する
- 情報漏えいの影響と範囲を特定する。
- リスクアセスメントの実施、インシデント対応計画の整備、関連証拠の保全など、情報漏えいの再発防止策を考案・検討・実施する。
また、企業は情報漏えいに気づいた後、データ対象者に通知しなければなりません。これは、「状況に応じて速やかに」行うこととされており、その定義はその時の状況に応じて変化する可能性があります。さらに、「本人に通知することが困難な場合であって、本人の権利利益を保護するために必要な代替措置がとられる場合」には、このガイドラインは適用されないと法律で定められています。
APPI法における個人参照可能な情報の規制とは?
改正個人情報保護法(APPI)により、組織は個人データを収集し処理する前にデータ対象者から同意を得ることが義務付けられています。
また、個人データとはみなされない個人に関する情報、あるいは匿名化または仮名化されたデータを第三者に提供する場合、それが個人データとして受信者に提示されるなら、提供者はこのデータ転送への同意を証明することができる必要があります。また、改正された規則では、データ対象者がデータを収集する際に一定の情報を提供することが義務付けられています。
以下のガイドラインを考慮する必要があります:
1 提供された情報を個人情報として受け取るとはどういう意味でしょうか。
これは、データの受信者が、他の個人データを充実させるためなどに、この情報を個人データとして使用することを意図している場合を指すと規定されています。
データの受領者が他の個人データを充実させるために個人データを使用する意図がない場合、受領者はユーザーの同意の証明をする必要はありません。
2 ここでいう「予測」とは、どのような意味でしょうか。
データ受信者とデータ提供者の間の契約において、受信した情報を個人データとして利用しないことが明記されていれば、受信者がその情報を個人データとして利用することは「予測」されません。
しかし、データ受信者がその情報を個人データとして使用することが疑われる場合は、同意の証明が適用されます。
3 同意を求める際のデータ対象者への情報提供
同意を求める際には、その旨を明確に伝えることが必要です。より具体的には、以下のような情報を提供する必要があります。:
- どのような主体が個人データを受け取るのか
- どのような情報が共有されるか
- どのような目的で個人情報を利用するのか。
4 ユーザーの同意を得る主体
基本的なルールは、ユーザー/個人と直接接触するデータ受領者は、ユーザーの同意を得 るべきであるということです。
個人の権利が適切に保護されている場合は、データ提供者がデータ受領者の代わりに同意を求めることも認められています。
Google Analyticsやトラッキング技術、広告技術などのサードパーティツールをWebサイトで利用する場合、CookieFirstのようなCMP(Consent Management Platform)を利用すると、Webサイト利用者からの同意取得が可能になります。
同意の機能はこちらでご覧ください。
国境を越えたデータ転送とAPPI
APPI の改正には、個人情報の第三者への移転に関する規定も含まれています。最初の注目すべき変更は、既存の規制を拡大する形で行われ、受領者がデータを使用して特定の個人を識別することができ、開示事業者がそうできない場合の転送をガイドラインでカバーするようになりました。
もう一つの重要な変更は、国境と国境を越えたデータ転送のルールに関係するものです。この規則では、同意を得る際に個人に伝えなければならない情報を拡大し、同等のデータ保護基準を持つ事業者とデータを共有する際に保護基準が維持されていることを確認するよう求めています。
テクノロジーが発展し続け、そのナビゲーションがますます複雑になるにつれ、サイバーセキュリティはこれまで以上に重要なものとなっています。日本のAPPIの最新の更新は、このような変化する状況下で個人を保護するため、データセキュリティに常に優先順位を置く必要があることを反映しています。
– CookieFirst ブログより引用
