4月1日施行の改正個人情報保護法、ECにも影響する改正事項とは？【EC関連法の解説】

2022.01.132023.02.27
- EC関連法

EC事業者さまに影響する法律の動向について、一般社団法人ECネットワーク理事の沢田登志子さまに寄稿していただく本連載。第3回のテーマは、2022年4月に施行される改正個人情報保護法です。個人情報保護法の基本的なルールを振り返りながら、ECに影響があると思われる改正事項を解説していただきました。

本稿は株式会社TradeSafeのウェブサイトに掲載されたコラム「知っておきたいEC関連法その3．個人情報保護法」を転載したものです。見出し、画像、外部サイトのURL表記はE-Commerce Magazine編集部が編集しています

1 個人情報保護法最近の改正動向と新規立法
2 I. 3年ごと見直し
3 Ⅱ. 取得と利用に関するルール
4 Ⅲ．保有に関するルール
5 Ⅳ．提供に関するルール
6 Ⅴ．その他の改正項目

個人情報保護法最近の改正動向と新規立法

こんにちは。ECネットワークです。今回は、2022年4月に施行される改正個人情報保護法についてご紹介します。

I. 3年ごと見直し

2003年の制定当初、個人情報保護法は、分野ごとに主務大臣が分かれていました。2015年の改正で、「行政手続における特定の個人を識別するための番号の利用等に関する法律」（マイナンバー法）に基づき設立された特定個人情報保護委員会（現在は個人情報保護委員会）が個人情報保護法を所管することとなり、統一的な解釈や国際対応がスムーズに行われるようになりました。

この時の国会審議の附則として「今後3年ごとに見直す」というルールが設けられ、2020年6月に2度目の改正（令和2年改正）が行われました。続く2021年5月には、「デジタル社会形成整備法」の一部として、公的部門との一元化を内容とする3度目の改正法（令和3年改正）が成立しています。

Eコマースに関係が深いのは2022年4月に施行される令和2年改正です。今回は、個人情報保護法の基本的なルールを振り返りながら、ECに特に影響があると思われる改正事項をご紹介します。本文中の条番号は、令和3年改正法が施行される際に変更されますので、それまでのものとしてご覧ください。

Ⅱ. 取得と利用に関するルール

1. 基本ルール：利用目的の特定と公表

Eコマースで個人情報を取得するといえば、典型的には、お客様からご注文をいただく場面と思います。ここでのルールは、「利用目的を特定し、通知または公表する」ということです（第15条、第18条）。

ルール自体の変更はありませんが、利用目的の特定として求められる水準は徐々に厳しくなっています。具体的で本人にとって分かりやすいものである必要があり、2021年8月に公表されたガイドライン改訂版（通則編）では、「お客様のサービスの向上」のような抽象的な内容では具体的に特定したことにならないとされています。

ECサイトでは、「プライバシー・ポリシー」や「個人情報の取扱い」といったページを設けて、利用目的をあらかじめ公表していることが多いと思います。個人情報保護法上は、取得の状況からみて利用目的が明らかな場合は通知や公表をする必要がなく（第18条第4項）、「商品配送のため」「代金決済のため」といった当たり前のことは記載しなくて良いのですが、もちろん記載しても問題はありません。

他方、注文履行プロセスとは異なる利用、つまり本人（注文者）にとって当たり前でない利用については、できる限り具体的に記載する必要があります。前述のガイドラインでは、ターゲティング広告を念頭におき、「お客様の購買履歴や閲覧履歴などの情報を分析し、趣味・嗜好に応じた新商品・サービスに関する広告を表示するために利用します」といった記載が望ましいとされました。

利用目的は、基本的には「通知または公表」で良く、その範囲内で利用している限り、本人の同意を得ることは求められません。しかし、利用規約と同様、Eコマースで個人情報の取扱いについても同意ボタンを設けているのは良い取組みと思われます。

取得に注意が必要なのは「要配慮個人情報」です。人種や病歴など差別につながる可能性のある情報は、本人の事前同意がない限り、原則として取得が禁じられています（第17条第2項）。

2. 新規ルール：不適正な利用は禁止

これまで個人情報保護法には利用方法に関する制限はありませんでしたが、2020年改正で新たに第16条の2として、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」と定められました。

「違法又は不当な行為を助長・誘発する利用」とはどのようなものでしょうか。ガイドラインでは、「暴力団の要求に応じて対応担当者の名簿を渡す」といった例示がされています。例えば、EC取引によるものではありませんが、採用活動を通じて取得した個人情報を、性別や国籍等、特定の属性によって差別的取扱いを行うために利用するといった場合はこの条項に抵触する可能性が出てくるかも知れません。

個人情報の利用が拡大する中、それが個人の権利利益の侵害につながる懸念が指摘されるようになりました。個人情報保護法においても、どのように行動すれば遵守したと言えるかを外形的に判断できる行為規制にとどまらず、実質的な判断を伴う規律を置く必要が生じたものと思います。法令違反とまでは言えないものについて何を不当と考えるかは、その時々の社会通念に照らして判断されます。海外法制を含め、今後も環境変化に注意する必要がありそうです。

Ⅲ．保有に関するルール

1. 基本ルール：周知・開示請求への対応

ご注文の際にお預かりしたお客様の個人情報は、商品配送後も保有し新商品の案内などに利用するのが一般的と思います。個人情報保護法では、自社が保有する個人データについて利用目的や安全管理措置、苦情の申し出先などを「本人の知り得る状態」に置かなくてはならないと定められています（第27条第1項）。Eコマースにおいては、通常、プライバシー・ポリシーがこの役割を担っていると考えられます。

加えて個人情報保護法では、本人が、自分のデータを開示するよう事業者に請求する権利を認めています。事業者は、開示請求の手続きについても周知し（EC事業者であれば通常はプライバシー・ポリシーに記載し）、請求を受けたら、一定の場合を除き遅滞なく開示する義務があります。本人には、データが誤っていた場合の追加や削除の請求、違法に扱われていた場合の利用停止等の請求をする権利が認められています（第28条〜第30条）。

2. 新規ルール：本人の請求権の拡大

これまでは、6ヶ月以内に消去するデータは開示請求の対象から除外されていましたが、2020年改正で除外規定がなくなり、全ての保有個人データが対象となりました。

そして、これまで本人が利用停止の請求をできる場合が「違法な取扱い」に限定されていたところ、新たに「利用する必要がなくなった場合」と「本人の権利又は正当な利益が害されるおそれがある場合」が追加されました（第30条第5項）。

例えばキャンペーンの懸賞賞品発送のために保有していた情報は、発送が終わって一定期間経てば不要になるので、本人が請求すれば利用停止しなくてはならないということです。

「本人の権利又は正当な利益が害されるおそれがある場合」としては、重大なデータ漏えいが起こったのに再発防止措置がとられていない、本人がダイレクトメール送付停止を要求しているのに繰り返し送り続ける、などが例示されています。

Eコマース事業者にとって、注文者のデータに関するご要望にできる限り応えるのは当然のことですが、それが個人情報保護法上の義務として明文化されたという見方もできそうです。

Ⅳ．提供に関するルール

1. 基本ルール：第三者提供時の本人同意

個人データを第三者に提供する場合は、原則として本人の同意が必要（第23条第1項）です。提供した記録を作成する義務もあります（第25条）。

大事な顧客情報を第三者に提供することはあまり想定できないので、プライバシー・ポリシーには、「お客様の同意なく第三者に提供することはありません」と書かれていることが多いと思います。

このルールには例外があり、第23条第1項には、「法令に基づく場合」など、本人の同意なく第三者に提供しても良い事由が列挙されています。例えば、捜査令状や税務調査に対応する場合は、この「法令に基づく場合」に当たると考えられます。

注意が必要なのは、不正検知サービス等を利用する場合です。注文情報（氏名・配送先住所等）をサービス提供者のデータベースに入力する行為は「個人データの提供」に当たる可能性があるので、利用目的への明確な記載に加え、本人同意の要否（例外事由に該当するかどうか）についても検討されることをお薦めします。

注文情報は、配送会社には当然提供されます。個人情報保護法では、配送、コールセンター、メルマガ配信など一般的に「外注」と整理されるものは、第三者提供ではなく「個人データの取扱いの委託」とみなされ、本人の同意を得る必要はありません（第23条第5項）。

ただし第22条で、個人情報取扱事業者には委託先の監督義務が課されています。個人情報保護法とは異なる民事の視点ですが、外注先が漏えい事故などを起こした場合、本人に対する責任は委託元が負うと考えておく必要があると思います。個人情報保護法のガイドラインでは、個人情報取扱事業者は、適切な委託先を選定し、委託契約の中で個人データの取扱いについても定めておくことが望ましいとされています。

前述の不正検知サービスが1社の注文データのみ取り扱い、その中で不正を検知するのであれば、第三者提供ではなく委託と整理できるかも知れません。サービス提供者が複数社のデータをもとに独自のデータベースを構築している場合は、第三者提供に当たる可能性が高いと考えられます。

なお、取得時のルール（利用目的の通知又は公表）は「個人情報」が対象ですが、第三者提供のルール（本人同意）がかかるのは「個人データ」です。バラバラに散らばった名刺などの個人情報を、容易に検索できるように体系的に構成した場合、つまりエクセル表や名刺管理ツールに整理した場合は、その1つ1つが「個人データ」となり、安全管理措置や第三者提供時の義務がかかります。

Eコマースの顧客情報は、通常、データベースとして管理されるので、ほぼ全て個人データに当たると考えられます。第三者提供する場合は、基本的に本人同意が必要で、その記録を保存する義務があると思っていた方が良いと思います。

では、どのような情報が個人情報に当たるのでしょうか。名前や住所は間違いなく個人情報ですが、法律上はそれだけではなく、「他の情報と容易に照合することにより特定の個人を識別することができるもの」全てが個人情報です。単体ではどこの誰の情報かわからないもの（Cookie IDや購入履歴など）も、自社データベース内で、会員登録時に提供された氏名などの情報と結びつけていれば自社にとっては個人データです。そのような購入履歴や閲覧履歴を第三者に提供する場合には、提供先では誰の情報かわからない場合でも、本人の同意を得る必要があると思われます。

2. 新規ルール：個人関連情報を第三者に提供する時の確認義務

新たに課されたのは、個人に関連する情報ではあるが自社にとって個人データでない情報（個人関連情報）を第三者に提供する場合の確認義務です（第26条の2）。

2019年に、就職情報サイトが取得した就活生の閲覧履歴から内定辞退率の予測スコアを生成し、採用側であるクライアント企業に提供していたという事案が報道されました。これが規制のきっかけです。就職情報サイト側で保有していたのはIDのみで、閲覧履歴が誰のものかはわからない状態でしたが、そのIDは、クライアント側では、既に保有する個人データと結びついていました。すなわちクライアントは、誰のものかわかる状態で内定辞退率予測スコアを受け取っており、就職情報サイトもそのことを知っていました。

氏名と結びついていない情報は個人情報に該当しないので、提供元としては、第三者提供にあたり本人の同意を取得する義務はありません。そこで、このようなケースに対応するため、提供先が個人データとして情報を取得することについて本人から同意を得ていることを、提供元が確認しなくてはならないというルールが課されたのです。

これがEコマース実務にどのように影響するか現時点ではわかりません。しかし海外で検討されている法制度や、Google、Appleの第三者Cookie規制等の世界的な動きを見ると、個人情報の取扱いに関し本人のコントロールを強めることは、今後日本でも避けられない流れと思われます。特にマーケティング分野への影響は大きいのではないかと思います。