Webサイト(ホームページ)運用における改正個人情報保護法対応についてまとめてみました【2024年8月版】

皆さんこんにちは、taneCREATIVEの「ちほうタイガー」です。
2024年7月26日に本記事を執筆しています。

当社の方ですが、運営しているWebサイト(ホームページ)での改正個人情報保護法への対応はどうしたらよいだろうかというご相談が増えて参りました。そこで、企業のWeb担当者の皆さん向けに、Webサイト運用における改正個人情報保護法への対応策について基本情報をまとめてみました。

内容については、当社の顧問弁護士である阿部・楢原法律事務所の阿部弁護士の監修も頂いておりますが、プライバシーポリシーを作成したり、同意取得への対応をされる際には、各企業の法務部、顧問弁護士によるチェックを受けてくださいますようお願い申し上げます。

個人情報保護法の改正とWebサイト(ホームページ)の運用への影響

個人情報保護法は、社会における個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした法律(法1条)で、個人情報の取扱いに関連することから、Webサイトの運営にも関係することが多い法律です。

この個人情報保護法ですが、①個人の権利利益の保護、②技術革新の成果による保護と活用の強化、③国際的な制度調和・連携、④越境データの流通増大に伴うリスクへの対応、⑤AI・ビッグデータ時代への対応という5つの観点に基づいて、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡る制度を目指して、「個人情報の保護に関する法律等の一部を改正する法律」が令和2年(2020年)6月12日に公布され、令和4年(2022年)4月1日に施行されました。
これを交付時の年度に合わせて令和2年改正個人情報保護法と呼びます。

また、①社会全体のデジタル化に対応した個人情報保護とデータ流通の両立、②個人情報保護に関する国際的な制度調和と我が国の成長戦略への整合という2つの観点に基づいて、個人情報保護とデータ流通の両立に必要な全国的な共通ルールを法律で設定し、法律の的確な運用を確保するため、国がガイドラインを策定した上で、必要最小限の独自の保護措置を許容する制度を目指して、「デジタル社会の形成を図るための関係法律の整備に関する法律」が令和3年(2021年)5月19日に公布され、令和4年(2022年)4月1日と令和5年(2023年)5月18日までの政令で定める日の2段階で施行されました。
これを交付時の年度に合わせて令和3年改正個人情報保護法と呼びます。

これらの改正がWebサイト(ホームページ)の運用に与える実務上の影響としては、①個人情報保護体制の整備とプライバシーポリシーへ影響、②本人の同意取得に関する影響の2点において、圧倒的に令和2年改正個人情報保護法の影響が大きいことから、本記事ではこれらにフォーカスして解説してみたいと思います。

令和2年改正個人情報保護法のポイント

令和2年改正個人情報保護法では、それ以前の個人情報保護法(以下「旧法」とします)と比べて、個人情報保護に関する多くのルールが変更されています。
そこで、まず令和2年改正個人情報保護法のポイントを、まとめてみたいと思います。

漏えい等報告・本人通知に関する改正

旧法では、個人データの漏えい等の発生時における個人情報保護委員会への報告は、あくまで努力義務でした。

令和2年改正個人情報保護法では、個人の権利利益を害する恐れが大きい漏えい等の事態については、個人情報保護委員会への報告本人への通知が義務化されました(個人情報保護法第22条の2)。

ここでいう「個人の権利利益を害する恐れが大きい漏えい等」とは、具体的には以下の4パターンがあると想定されており、発生時においては当該事態を知った時点から概ね3~5日以内に個人情報保護委員会への報告を行うことが求められると、ガイドラインで定められています。

・要配慮個人情報が含まれる事態
・財産的被害が生じるおそれがある事態
・不正の目的をもって行われた漏えい等が発生した事態
・1,000人を超える漏えい等が発生した事態

また、本人へ通知する場合においても、当該事態の状況に応じて速やかに、 概要・個人データの項目・原因などを本人にとって分かりやすい方法で行うことが必要だとされており、通知の方法例としては、文書の郵送、電子メールの送信などが挙げられますが、本人への通知が困難な場合は、Webサイト(ホームページ)等での公表、問合せ窓口の設置といった代替措置を講ずることも可能であるとされています。

企業のWeb担当者としては、個人データの漏えい等が発生した際に、本人への通知の代わりにコーポレートサイトで公表する場合があることを把握しておけばよいかと思います。ただし、コーポレートサイトに記載する方法での公表は、あくまでも本人への通知が困難である場合の代替措置であり、本人への通知をすれば公表する必要はないことに注意が必要です。

※参考:個人情報保護委員会オフィシャルサイト 漏えい等報告・本人への通知の義務化について

外国にある第三者への提供(越境移転)ルールに関する改正

旧法では、外国にある第三者に個人データを提供できる要件として、①本人の同意、②基準に適合する体制を整備した事業者、③日本と同等の水準国のいずれかを満たす必要がありました。

令和2年改正個人情報保護法では、①本人の同意取得時に、「移転先の所在国の名称」「当該外国における個人情報の保護に関する制度」「移転先が講ずる個人情報の保護の為の措置」に関する情報をユーザーに提供することが追加で必要となりました。

また、②基準に適合する体制を整備した事業者への提供であっても、「移転先における適正な取り扱い状況などの定期的な確認」や「移転先における適正な取り扱いに問題が生じた場合の対応を定める」など移転元が必要な措置をとること、本人の求めに応じて必要な措置等に関する情報を提供することが義務化されました。

※参考:マンガで学ぶ令和2年改正個人情報保護法「外国にある第三者への提供(越境移転)」編

企業のWeb担当者である皆さんからすると、海外ベンダーのクラウドサービスを利用した際にどうなるのかと疑問を持たれるのではないでしょうか。例えば、Webサイトのお問い合わせフォームから登録された個人情報がGoogleスプレッドシートに自動的に登録されるようにした場合、本人の同意等が必要なのでしょうか。
この個人情報取扱事業者が取扱う個人データについて、クラウドサービス提供事業者が提供するクラウドサービスを利用する場合において、当該提供事業者に対する当該個人データの第三者提供に該当するかどうかについては、当該提供事業者において当該「個人データを取り扱わないこととなっている場合」かどうかによって判断される模様です。
上記Googleスプレッドシートの例で言えば、Googleはスプレッドシート内のコンテンツを(Googleの本業である)広告目的では使用しない旨規定しており、適切にアクセス制御を行っていることから、そもそも「第三者への提供」とみなされない可能性があります。
一方で、「第三者への提供」に該当すると判断される場合には、Googleが本社を有するアメリカは「我が国と同等の水準の個人情報保護制度を有している外国」には当たりませんので、上記①本人の同意、②基準に適合する体制を整備した事業者のいずれかを満たす必要が出てくる可能性があります。
なお、このあたりの法的判断については、各社の法務部・顧問弁護士にてご判断ください。

※参考:改正越境移転ルールの施行に向けて

保有個人データの開示請求に関する改正

旧法では、ユーザーが個人情報取扱事業者に対して、保有個人データの開示を請求した場合には、その開示は書面による交付が原則とされていましたが、令和2年改正個人情報保護法では、電磁的記録の提供(CD-ROM等の媒体の郵送、電子メールによる送信、Webサイト(ホームページ)でのダウンロード)等、「本人の指定する方法による開示」を請求することができることになりました(個人情報保護法第28条第1項)。

また、旧法では、個人データを別の事業者に提供した場合の記録(第三者提供記録)については特に定められていませんでしたが、令和、令和2年改正個人情報保護法では、個人データの第三者提供記録の開示請求について定められたため、本人は提供元と提供先それぞれに対して開示請求ができるようになりました。

さらに、旧法では、ユーザーの開示等の請求対象となる「保有個人データ」について、6か月以内に消去されるデータは「保有個人データ」に含まれないとされていましたが、令和2年改正個人情報保護法では、6か月以内に消去される短期保有データについても「保有個人データ」に含まれることになりました(個人情報保護法第16条第4項参照)。

※参考:マンガで学ぶ個人情報保護法 第8話

企業のWeb担当者としては、社内の個人情報管理体制及びコーポレートサイトのプライバシーポリシーないし利用規約に上記改正内容を反映させているか、についてチェックしておくとよいでしょう。

個人データの利用の停止・消去等の請求要件に関する改正

旧法では、ユーザー本人が保有個人データの利用停止・消去を請求できるのは、個人情報の目的外利用や不正取得の場合に限定されていました。
また、旧法では、ユーザー本人が第三者への提供の停止を請求できるのは、本人の同意なく第三者や外国にある第三者に提供した場合に限定されていました。

令和2年改正個人情報保護法では、これに加えて、①事業者が、保有個人データを利用する必要がなくなった場合、②個人情報保護委員会への報告義務がある重大な漏えい等が生じた場合、③本人の権利又は正当な利益が害されるおそれがある場合にも、利用停止・消去の停止を請求できるようになりました(個人情報保護法第30条第5項)。

※参考:マンガで学ぶ個人情報保護法 第7話

企業のWeb担当者としては、社内の個人情報管理体制及びコーポレートサイトのプライバシーポリシーないし利用規約に、上記改正内容を反映させているかについてチェックしておくとよいでしょう。特に、退職した従業員の情報について、本人から消去の請求が来た場合には、「本人の権利又は正当な利益が害されるおそれがある場合」として適切に対応をする法的義務が生じている点に留意が必要です。

公表等事項に関する改正

旧法では、事業者の名称、利用目的、開示請求等の手続、苦情の申出先等を公表事項として規定していました。

令和2年改正個人情報保護法では、これに加えて、安全管理のために講じた措置も公表事項として規定されました。ただし、例えば不正アクセス防止措置の内容など、公表することで攻撃者に情報を与えてしまう等、公表により支障を及ぼす恐れのあるものは除かれています(個人情報保護法第32条第1項、政令第10条)。

※参考:個人情報の保護に関する法律についてのガイドライン(通則編)

企業のWeb担当者としては、安全管理のために講じた措置としてどこまでを公表する義務があるかについて、社内の個人情報保護規定を確認した上で、コーポレートサイトのプライバシーポリシーないし利用規約に反映させているかについてチェックしておくとよいでしょう。

不適正利用禁止の新設

令和2年改正個人情報保護法では、事業者が違法または不当な行為を助長する等の不適正な方法で個人情報を利用することが明文で禁止されました(個人情報保護法第19条)。
こちらに関しては、プライバシーポリシーや利用規約に記載したとしても、当然といえば当然の内容ですのであまり意味はないかと思います。その意味で企業のWeb担当者には直接的な影響を及ぼさないと考えられるため、本記事では割愛しますが、必要でしたら下記参考ページをご覧ください。

※参考:個人情報の保護に関する法律についてのガイドライン(通則編)

個人関連情報に関する新設

「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(個人情報保護法第2条第7項)。例えば、個人の性別・年齢・職業等の情報やWebサイトの閲覧履歴、位置情報等がこれに該当します。

令和2年改正個人情報保護法では、「個人関連情報」を第三者に提供する場合において、提供先の第三者が当該個人関連情報を「個人データ」として取得することが想定される場合には、個人データの第三者提供に準じた規制が課せられ、提供元の個人関連情報取扱事業者は提供先に対して本人の同意が得られていることを確認しなければならないことになりました(個人情報保護法第31条第1項本文)。

※参考:マンガで学ぶ個人情報保護法 第10話

企業のWeb担当者としては、Google Analytics 4等で使用されているCookieの利用によって、いわゆるポップアップによる同意取得を設置しなければならないかが知りたい点ではないでしょうか。

まず、Cookieで取得されている端末識別子やWebサイトの閲覧履歴情報、位置情報等は、それだけでは「個人情報」には該当せず「個人関連情報」に該当するとされています(あくまで日本の個人情報保護法についてであり、GDPRなどでは異なります)。
しかしながら、上記のように、これらの個人関連情報も、第三者に提供する場合で、提供先の第三者が個人データとして取得することが想定されるケースでは、事前に「本人の同意」が必要となる場合があることになりました。典型的な例としては、ターゲティング広告の一部やDMP(データマネジメントプラットフォーム)を利用したデジタルマーケティングサービスを利用する場合等に該当する可能性があることになります。
一般的に、これらのサービスを利用する場合には、DMP事業者ないしその代理店から配布されたデータ取得用のタグをWebサイトのソースコードに貼ることで、Cookieで取得されている個人関連情報をDMP事業者が取得します。DMP事業者(提供元)がこの個人関連情報をもとに閲覧履歴・趣味嗜好などのデータを抽出・作成し、これを顧客企業(提供先)へと提供した場合で、顧客企業側にて、企業が保有する氏名・住所等データと統合して、特定個人の閲覧履歴等を入手し、広告に利用するようなケースが「個人関連情報を第三者に提供する場合において、提供先の第三者が当該個人関連情報を個人データとして取得することが想定される場合」の典型例となります。
このケースの場合、分かりにくいのですが、上記個人情報保護委員会オフィシャルサイトの図におけるA社(提供元)がDMP事業者で、B社(提供先)がDMPサービスを利用する企業であり、原則として、本人と接点を持ち情報を利用する主体となる提供先企業であるDMPサービスの顧客企業が、同意を取得する企業になります。

企業のWeb担当者としては、Cookieを使用しているGoogle Analytics 4を使用するからといって、即座に同意取得のポップアップが必要ではないということを前提として理解したうえで、上記のようにDMP事業者(提供元)から提供される情報(Cookieで取得された情報から抽出・作成されたもの)を、自社の顧客情報などを組み合わせて個人データとして利用する予定がある場合には、Webサイト上での同意取得が必要であると考えておけばよいかと思います。

仮名加工情報に関する新設

改正個人情報保護法では、仮名加工情報制度が新設されました。仮名加工情報については、通常の個人情報に比して、事業者の義務が緩和されることとなりました。
こちらに関しては、企業のWeb担当者には直接的な影響を及ぼさないと考えられるため、本記事では割愛しますが、必要でしたら下記参考ページをご覧ください。

※参考:マンガで学ぶ個人情報保護法 第11話

毎度恒例の…既存のWeb制作会社さんに優しい対応をお願い致します

当社では、単なるWeb制作会社であるにも関わらず、代表取締役がコンプライアンス超大事と考えていることから、Webやシステム案件に強い阿部楢原法律事務所の阿部弁護士にフェアな契約関係について定期的に指導を受けております。
また、それに飽き足らず、コンプライアンス専門の顧問弁護士として、アスカ法律事務所の堀田弁護士が付いているという、(非常に)特異な環境にあるため、本コラムの内容程度の情報・理解は当社内部では大体共有されているのですが、そこまで徹底している制作会社は、客観的に見ると…間違いなく例外的だと思います。

Webサイト制作は、本当に単価も安く仕事も厳しい業界で、日々納品物に追われる中で、改正個人情報保護法の勉強を別途積める時間などなかなかありません!(心の叫び)。
そうなると、どうしてもブログ等で得た「こうらしい」という知識で実務をしてしまっているのも大いに理解できたりします。

皆さんの利用されている制作会社さんが、「Webのプロと言っても法律のプロではない」ことはご理解いただき、やさしい目をもって制作会社さんに接して頂けますと幸いです。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。

記事の監修者

阿部楢原法律事務所 弁護士 阿部哲男

taneCREATIVEの第一顧問弁護士。
社長に軽く「これも監修お願い」と言われて引き受けてしまった悲劇の弁護士。
Chatworkのプロフィール画像は息子作。