2. 安全管理措置の公表は義務! ユーザーの安心・安全にも繋がる
多くのWebメディアでは、個人情報の利用目的や削除方法、運営企業の問い合わせ先などをプライバシーポリシー(個人情報保護方針)に明記しています。
こうした個人情報の安全管理措置を公表することは、これまで努力義務扱いでしたが、今回の改正により、公表が義務になりました。Webメディア運営においては、主に会員登録やアンケート実施にて集めた個人情報の扱いなどが該当します。集めた個人情報をどのように使うのか、管理体制や破棄方法をユーザーにわかりやすく公表しなくてはなりません。
また、石川は、これまでのプライバシーポリシーはユーザーに対して一方的なものが多く、問い合わせ先の情報が不明瞭な企業さえ存在すると指摘します。メールマガジンやお知らせ記事など、事業者側がユーザーに通知する手段はあっても、ユーザー自身が事業者に問い合わせる手段が整っていないことが多々あるようです。
プライバシーポリシーに連絡先を明記していないWebメディアは、お問い合わせフォームの設置やメールアドレスを明記するなど、企業への連絡手段をわかりやすく明記しましょう。
安全管理措置や問い合わせ先を公表することは、ユーザーがサービスを利用する際の安心・安全にも繋がります。まずは、現状の公表内容を確認し、既存のプライバシーポリシーに不備がある場合は改定しましょう。
3. 外国事業者へ個人情報を提供しているか、管理体制も含めて要チェック!
改正前の個人情報保護法では、外国事業者に対して情報提供を行う場合の規定やガイドラインなどが設けられていませんでした。これまでは日本の法律を遵守する形で統一されていましたが、国によって個人情報の取り扱いが異なるため、今回の改正にて、外国事業者への個人情報提供に関する項目が追加されました。
具体的には、個人情報の預け先の国名や、当該外国における個人情報保護に関する制度、管理体制などをユーザーに明確に情報提供しなくてはなりません。主にコールセンターやユーザーサポートを外国に設けている事業者が該当するでしょう。取引先や関係会社に委託している場合も含めて状況を再度確認し、ユーザーにわかりやすく提示しましょう。
プライバシーポリシーの改訂を再確認(改正点と新設)
今回の個人情報保護法の改正により、社内での体制づくりや環境整備など、曖昧だった事項を明確化することが求められています。Webメディアにおいては、既存のプライバシーポリシーを見直す必要が急務であることが、みなさんもよく理解できたのはないでしょうか。
また、プライバシーポリシーに記載すべき内容として「改定」したものと新しく「新設」したものが存在します。
改定1:個人情報データの開示方法
個人情報データの開示方法を、電磁的記録の提供(電子メールによる送信、Webサイト上でのダウンロード等)を含め、ユーザー自身が指示できるようになりました。
問い合わせがあった際は、できる限りユーザーの要望に従うことが望ましいですが、あらかじめプライバシーポリシーに開示手段をいくつか提示しておくことも可能です。
改定2:利用停止・消去の請求権
プライバシーポリシーに個人情報の2次利用について予め明記されている場合や、オプトインで同意を得ている場合においても、個人データの利用停止や削除請求に対応する必要が生じました。
また、Cookieについては、今回の改正において「個人関連情報(個人情報を加工し作成されたもの)」という位置付けになりました。Cookieと登録者情報と紐付けすることは、それだけでは個人を特定できないという観点より違法ではありません。とは言え、今後の判例次第では法が改正する可能性もあるため、今後の改正時にも柔軟に対応ができるよう事前に備えておきましょう。
新設:不適切な方法で個人情報を利用してはならない旨を明記
違法または不適切な方法で個人情報を取得、または利用してはならない旨を明記することが新設されました。
これまでは、個人情報を不正に取得する方法など、法規制がされていませんでした。提供先が偽って取得したり利用したりする危険性もあるため、現在の状況を確認し、プライバシーポリシーに新たに明記しましょう。
時代の変化に合わせたオウンドメディア運営をするために
今回の改正において、企業に課せられる義務や体制作りが明確化されました。すでに対応できている企業も多いかもしれません。しかし、一つの企業が複数のメディアを運営したり、外部に委託している場合などは、対応が行き届いてない可能性もあるでしょう。今一度、社内での個人情報の取り扱いに関するルールや、プライバシーポリシーの見直しを行う必要があります。
実際の運用となると何から手を付けたら良いのかわからない、という企業の方は、ぜひ一度当社までご相談ください。リボルバーは、2021年9月28日にISMS(情報セキュリティマネジメントシステム:Information Security Management System)の国際規格「ISO/IEC 27001:2013」および国内規格「JIS Q 27001:2014」の認証を取得しています。さらに日本ハッカー協会理事を務める石川英治をCISO(最高情報セキュリティ責任者)に配することで、サービス提供はもちろん開発環境においてもお客さまが安心してご利用いただけるセキュリティ体制を整えています。
Webメディア運営のセキュリティに関するご相談はもちろん、オウンドメディア運営に関するご依頼など、お気軽にお問い合わせください。
