インターネットイニシアティブ(IIJ)は、2022年4月1日から施行される「令和2年改正個人情報保護法」にあわせて強化されるプライバシー保護規制に関して、企業が持つ課題を解決するためのサービスを拡充。同改正法への対応メニューを追加したと発表した。
また、Cookie(クッキー)規制対応に必要なクッキーバナーツールの企業への導入を推進するための新たなパートナープログラム「クッキーバナーソリューション・パートナープログラム」も開始する。
IIJビジネスリスクコンサルティング本部副本部長の鎌田博貴氏は、「同改正法の特徴は、各企業が、実務的な法規制対応を迫られるものとなっており、企業活動という観点で捉えれば、デジタルマーケティングにおける個人関連情報の活用に規制が強まったといえる」と指摘。「IIJ では、プライバシー保護に関連するサービス群において、改正法対応ならびに企業の社会的責任としてのプライバシー保護対策の実装を支援するメニューを新たに追加し、企業の負担軽減と、改正法への適正な対応を支援していきたい」としている。
IIJビジネスリスクコンサルティング本部副本部長の鎌田博貴氏
新たに盛り込まれた「個人関連情報第三者提供の制限」、強化された「外国にある第三者への個人データ提供の規制強化」「個人データの漏えい等の報告の義務化」
2022年4月1日から施行される「令和2年改正個人情報保護法」のガイドラインが、2021年8月2日に公表された。IIJでは、この改正法ガイドラインをおいて、重点事項となるのが、新たに盛り込まれた「個人関連情報第三者提供の制限」と、強化された「外国にある第三者への個人データ提供の規制強化」と、「個人データの漏えい等の報告の義務化」の3点だとする。
ひとつめの「個人関連情報第三者提供の制限」では、個人関連情報データベースなどを構成する個人関連情報を、第三者に提供。提供先において自社保有データと照合し、個人データとして取得、使用する場合に、本人からの同意取得を確認、記録する義務を示している。
IIJの鎌田副本部長は、「氏名不詳であっても、個人のウェブ閲覧履歴や商品購入履歴、サービス利用履歴、位置情報の推移などを、規制遵守の上で使用するためにはCookieクッキーによる制御が最適となる。本人同意の場合のみ、共通クッキーIDを設定するなど、この仕組みを前提とした同意確認方法を実装することが効率的である」とした。
2つめの「外国にある第三者への個人データ提供の規制強化」では、外国にデータ移転が許されるのは、本人の事前同意を取得した場合、日本と同等水準の個人情報保護制度を有すると認められた国(欧州経済地域、英国)への移転、 基準適合体制整備により、契約等によって個人情報保護法による個人情報取扱事業者の義務に相当する措置を継続的に講ずる体制を整備している場合の3点に限られ、今回の改正では、本人の事前同意を取得した場合と、基準適合体制整備による場合に関して、内容が強化されているという。
本人の事前同意を取得した場合では、移転先国の名称や制度の有無、移転先国制度のOECD 8原則への対応状況などの情報提供義務が生じるほか、契約などによる基準適合体制整備による提供の場合では、移転先国での制度の有無や内容を、現地調査、書面報告などにより、年に1回程度以上の頻度で定期的に確認する義務などが生じる。「規制対応には移転先国の制度、運用に関する継続的な情報収集が重要になる。これは企業の負担が増加することにつながる」とした。
そして、3つめの「個人データの漏えい等の報告の義務化」では、個人データ漏えい等が発生し、個人の権利利益を害するおそれが大きい場合、個人情報保護委員会への報告と、本人への通知が義務化されることになる。
ここでは、健康データなどの要配慮個人情報の漏えい、取引可能なIDとパスワードの漏えいといった不正利用により財産的被害のおそれがある漏えい、不正アクセスなどにより、不正使用の目的がある漏えい、1000件を超える漏えいの4点が義務化の対象となり、報告対象事態を知ったあと、概ね3〜5日以内に行う速報と、30~60日以内に行う確報の2段階で報告することになる。時間を経過した上で、1000件を超えた場合にも報告する義務が発生したりするなど、詳細なルールも設定されているという。
消費者から選ばれるためには、法令順守の枠を超えた高い透明性が必要
インターネット黎明期から事業を行っているIIJでは、1992年の創業以来、インターネットを安心、安全に利用するための各種活動を行っており、そのためにセキュリティ対策やプライバシー保護を重視してきた経緯がある。
プライバシー保護については、2015年12月に欧州で、GDPRの最終版が発行されたことを受けて、2016年に、GDPR対応のコンサルティング事業をIIJ Europeで開始。2017年4月には、ビジネスリスクコンサルティング(BRC)部を設置し、日本企業のGDPR対応を中心にしたコンサルティングビジネスを展開。2018年4月には、ビジネスリスクコンサルティング本部となり、世界各国のプライバシー保護規制対応のコンサルティングや運用サービスを、法的な視点とITセキュリティの視点で提供してきた。
同本部は、現在、6人の弁護士を含む約30人の法律およびITセキュリティのエキスパートで構成。日本語で世界各国のプライバシー保護規制に関する各種情報を提供する「IIJビジネスリスクマネジメントポータル(BizRis)」では2100社以上、Cookieバナーの適切な実装支援などを含むコンサルティングサービスでは500社以上、DPOアウトソーシングサービスや有事対応支援サービスをはじめとする運用サービスでは40社以上が利用しているという。
IIJビジネスリスクコンサルティング本部長の小川晋平氏は、「GDPR前は、最低限の法令順守対応を行えばいいという範囲であったが、GDPR以降は消費者が求めているプライバシー保護のレベルが法令順守の枠から遥かに広がっている。たとえば、今年3月に話題になったLINEが中国や韓国にパーソナルデータを保管していた件は、現行法では国名まで開示する必要はないが、消費者が求めているレベルはそれを上回っていた。消費者から選ばれるためには、法令順守の枠を超えたより高い透明性が必要である。また、本人関与機会の提供が、プライバシー保護を重視する企業姿勢を示す上でも重要となっている」と指摘する。
「IIJ クッキー同意管理バナー導入支援」がサポート
IIJでは、「個人関連情報第三者提供の制限」では、従来から提供している「IIJ プライバシー保護規制対応ソリューション」において、改正法における新たな規制の適用要否の判断や、業務の実態に即した合理的な遵守対応、実装方法に関する情報をお客様企業に提供。ケースごとにデータの連携状況や活用目的、方法などをヒアリングし、これをもとに分析し、適用対象になるかを判断。同意取得にあたっての情報提供内容を整理。同意取得、確認、記録方法について具体的な対応策を立案する。この際、クッキー同意管理バナーの導入が最適解と判断した場合には、「IIJ クッキー同意管理バナー導入支援」によってサポートする。
IIJ クッキー同意管理バナー導入支援では、ガイドラインに則して、同意取得に必要な情報提供を行うための説明文言の作成を支援するほか、ユーザーの同意、拒否のステータスにあわせて、タスクマネージャーやHTML制御文によって、適切にタグをコントロールする機能の実装を支援する。
Cookieバナーツールでは、改正法の規制対象となる個人データと結合する目的で利用されるCookieについてはデフォルトでOFFとし、明示的なオプトイン同意を取るほか、個人データと紐づかない形で活用するCookieについてもオプトイン同意による制御を可能としている。また、改正法の規制対象とならないCookieについては、デフォルトでONにしており、これをオプトアウト形式で実装することも可能だ。
同意取得時には、データ結合を行うための「共有ID」を生成するDMPなどのサードパーティCookieを制御。同意が取得された場合に限りCookieの読み書きを行うことになる。ゼロクッキーロードや、バナー表示+オプトアウト形式、バナーは表示せずにプライバシーポリシーにオプトアウトボタンを設置など、様々な実装パターンに対応可能だという。
「規制に精通した専門家と技術に精通した専門家が同じチームからワンストップで支援できる点が特徴である」(IIJビジネスリスクコンサルティング本部プロフェッショナルサービス2課長の石村卓也氏)とした。
IIJビジネスリスクコンサルティング本部プロフェッショナルサービス2課長の石村卓也氏
なお、同社のCookieバナーツールのライセンス販売数は、2020年度で250ライセンスだったものが、2021年度は第1四半期(2021年4月~6月)だけで、156ライセンスの販売実績に達している。さらに、7月だけでも80ライセンスの販売実績になっているという。
IIJビジネスリスクコンサルティング本部長の小川晋平氏は、「改正個人情報保護法のガイドラインの発行を待っていた企業が相当数あった。Cookieバナーツール導入の機運が高まっており、今後もCookieバナーツールのライセンス販売数は堅調に増加するだろう」と予測する。実際、8月2日に改正法ガイドラインが公表されて以降、問い合わせは急増しており、1日2~3件であったものが、1日30件と約10倍に増えているという。
IIJでは、新たに「クッキーバナーソリューション・パートナープログラム」を開始。Cookieバナーツールの販売、導入を支援するパートナーを募集する。
Cookieバナーツールのライセンス販売およびCookieバナー導入支援を行うセールスパートナーと、IIJの委託に基づいてCookieバナーツールの導入、構築、運用支援を行うテクニカルパートナーで構成する。テクニカルパートナーは、IIJが認定するクッキーバナーエンジニアを1人以上有する必要がある。
IIJのノウハウを世界中で活用!
「外国にある第三者への個人データ提供の規制強化」に対しては、BizRisの活用提案を行う。主要40カ国以上の現地法で定められているプライバシー保護制度の最新情報を活用することで、移転先国の制度に即した情報提供義務の遵守やユーザーからの開示要求についても適切な対応が可能となる。情報は四半期に一度更新し、対象国も随時拡大するという。「提供先との相当措置実施義務を伴う契約の締結について、テンプレートの提供などにより実務対応を支援。さらに、提供先国の第三者のセキュリティ保護対策の十分性についてリスク評価を行い、改善が必要な場合は各種セキュリティ対策の実装を支援する」(IIJビジネスリスクコンサルティング本部プロフェッショナルサービス2課長の石村卓也氏)という。
「個人データの漏えい等の報告の義務化」に対しては、IIJ 有事対応支援サービスの内容を拡張。改正法に対応して、個人データ漏えい等のインシデント発生時に、個人情報保護委員会への報告を支援したり、当局対応や本人対応を含め有事対応として行うべき作業に関するアドバイスを行ったりする。現在、日本のほか、EU、英国、シンガポール、米国カリフォルニア州での当局対応、本人対応に関する支援を行っているが、今後対応する国、地域を順次拡大するという。
「こうした報告義務に対応していくには経験値が必要になる。IIJのノウハウを提供できる」(IIJビジネスリスクコンサルティング本部プロフェッショナルサービス2課長の石村卓也氏)などとした。
