APRIL 1, 2021

個人情報保護法の【ガイドライン】ってなあに?

こんにちは!弁護士の中村です。 
LINEの中国企業への個人データ取扱委託問題が取り沙汰されている中、2021年3月24日に、令和2年改正個人情報保護法関係の政令・規則が公布され、改正個人情報保護法の施行日が2022年4月1日に決定しました!ちょうど1年後ですね!! 

・・・・・ あれ?ガイドラインは? 

皆さん、改正個人情報保護法が成立してからしばらく、「ガイドライン待ち」っていう言葉をよく聞いていましたよね。

 「ガイドラインが出たらすべて解決するらしい。」・・・ 実際は、そんなことはないのですが(笑)

ガイドライン待ち、って待ち焦がれていたけど、それと今回の政令・規則というのは違うの?? よくわかりませんよねぇ。

ガイドラインは、何のためのもの?

 

■法律と政令・規則とガイドライン


一般的に、法律、政令・規則とは・・・なんて語り出すと法律入門のテキストみたいになってしまいますので、それはそっと脇に置いて(笑)。 大きく分けて、法律→政令・規則→ガイドラインの3つに分かれます。 それで、これらの関係なのですが、 

  • 法律には、基本的かつ汎用的なルールが定められている。
  • 政令・規則には、法律に記載されていない細かいことが定められている。
  • ガイドライン・Q&Aには、基本的な考え方や具体的事例等を提示する。

ということなのですね。改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について」(https://www.ppc.go.jp/files/pdf/200722_kihontekikangae.pdf)にもそのようなコメントが記されています。

法律は、具体的ケースを想定して規定することはできません。
もし具体的ケースに即した規定にしてしまったら、類似のケースにおいて法律で規制したいケースをカバーできないことになってしまいます。
だからこそ、ある程度抽象的な規定にならざるを得ないのです。

ただ、それだと
「自分に法律が適用されるのだろうか?」
「このケースは違法にならないだろうか?」
といった疑問が残ったままになりますね。なので、政令・規則や、ガイドラインでより具体的な規律を定めて、よりわかりやすくする、ということになるのです。 法律、政令等に分かれている理由はその他にもあるのですが、ここでは割愛します。

 ■2020年改正個人情報保護法にあてはめてみよう


では、具体的にはどういうことなのでしょうか。
おそらく皆さんの関心が高いであろう、cookie等の「個人関連情報」については、次のように規定がされています。

注:個人情報保護委員会「令和2年改正個人情報保護法 政令・規則案の概要」を参考に筆者が加工。

お!これでかなり具体的になって、やるべきことが明確になった!
さぁ、改正個人情報保護法対応も完ぺきだ!


・・・ちょっと待ってください!!!
確かに、この時点で対応できそうに思います。
記録のひな型は作れそうです。 ですが、例えば、以下の記述を見てください。 


提供先から申告を受ける以外に適切な方法があれば、それでもいいよ。
規則はそう言っています。 それに、「申告を受ける」って、具体的にはどうするんだろう?契約書に書くんだろうか?なんてことも気になりますね。 なので、やはりガイドラインを見ておきたいなー、と個人的には思うわけです。 

もちろん、今の時点でやれることをやっておく、というのは非常に大切なことですので、今回の施行令・規則の内容を踏まえて、対策を進めておくことももちろんオススメです。

その上で、ガイドラインが公表された時点で、再度問題ないか確認する、というのが的確な方法かもしれませんね! 

■では、現行法ではどうでしょうか?

せっかくなので、すでにガイドラインが出ている、その他の規定で検討してみましょう。 利用目的についての、個人情報保護法第15条第1項を見てみます。

 「できる限り特定」って、どこまで特定していなければならないのでしょうか?法律を読んだだけではよくわかりませんね。 これについて、ガイドラインは、以下のように記載しています。

 そして、※としてより詳しく記載されており、 
「事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならない」
などと記載されています。 

それよりもよりわかりやすいのが具体例です。 

 これを見て、ドキッとしたマーケターの方もおられるのではないでしょうか(笑)。
これぐらいの記載にとどめているポリシーって、結構ありそうですよね。もちろん、具体的に利用目的を特定している事例のように丁寧な記載がなされているポリシーもたくさんありますね。 

これを機に、一度ガイドラインを参照しながら自社のポリシーを見返してみてはいかがでしょうか。  

顧客との信頼関係構築は一日にしてならず・・・

 

弊社では、改正個人情報保護法対応を含めたプライバシー対応や、未来を見据えたデータ取扱いについてのご相談をお受けしております。
まずはお気軽にご相談ください。ご連絡お待ちしております!

WRITTEN BY: BICP DATA 中村恵美子
一覧へ戻る

CONTACT US
お問い合わせ

顧客中心型マーケティングにおけるデータ活用戦略の
推進をサポートします。

お問い合わせはこちら