ニュース

IIJ、プライバシー保護対策関連サービスに改正個人情報保護法に対応したメニューを追加

 株式会社インターネットイニシアティブ(以下、IIJ)は5日、2022年4月1日に施行される「令和2年改正個人情報保護法(以下、改正法)」のガイドラインが公表されたことを受け、世界各国のプライバシー保護規制への対応を支援するプライバシー保護対策関連サービスを拡充し、改正法への対応メニューを追加した。

 IIJでは、令和2年改正法は各企業に実務的な法規制対応が求められる内容となっており、加えて、企業が社会的信用を維持するためには、個人情報の取り扱いに関する透明性の高い情報開示と、利用者本人がそれらの情報を理解した上で同意するかどうかなどを決定できる、本人関与の機会の確保が重要になってきていると説明。こうした課題に対して、プライバシー保護に関連するサービス群において、改正法対応および企業の社会的責任としてのプライバシー保護対策の実装を支援するメニューを新たに追加する。

 改正法では、個人に関する情報ではあるが「個人情報」ではないもの(個人を識別できないWeb閲覧履歴、購買履歴、位置情報、アプリ行動履歴など)を第三者に提供し、提供先がその情報を「個人データ」として取得することが想定される場合、本人同意取得を確認・記録する義務が新たに追加される。

 これに対しては、「IIJプライバシー保護規制対応ソリューション」において、改正法における新たな規制の適用要否の判断や、業務の実態に即した合理的な順守対応・実装方法に関する情報を提供する。クッキーバナーツールの実装・運用については、「IIJクッキー同意管理バナー導入支援」でサポートする。

 また、改正法では、個人データを外国にある第三者へ提供する際の、企業の情報提供義務、相当措置義務が強化される。具体的には、移転先国の個人情報保護制度に関する継続的な情報提供が必要になるとともに、移転先との契約などによる個人情報保護措置の継続実施が求められる。

 これに対しては、「IIJビジネスリスクマネジメントポータル(BizRis)」において、主要40カ国以上の現地法で定められているプライバシー保護制度の最新情報を、BizRis会員向けに日本語で提供している。BizRisを活用することで、移転先国の制度に即した情報提供義務の順守や、ユーザーからの開示要求についても適切な対応が可能となる。情報は四半期に一度更新し、対象国も随時拡大する。

 移転先との相当措置実施義務を伴う契約の締結についても、テンプレートの提供などにより実務対応を支援する。加えて、移転先国の第三者のセキュリティ保護対策の十分性についてリスク評価を行い、改善が必要な場合は各種セキュリティ対策の実装を支援する。

 個人データの漏えいなどのインシデント発生時には、一定の条件のもとに個人情報保護委員会への報告が義務化される。IIJはこれまで、「IIJ有事対応支援サービス」において、有事の際のEUおよび英国のプライバシー保護監督機関への報告などを支援してきたが、今回の改正法にも対応し、個人データ漏えいなどのインシデント発生時に、個人情報保護委員会への報告を支援する。

 企業が保有する個人データには、日本のみならず海外の当局や本人に報告が必要な場合もあるため、当局対応や本人対応を含め、有事対応として行うべき作業に関するアドバイスを行う。現在、日本の他、EU、英国、シンガポール、米国カリフォルニア州での当局対応・本人対応に関する支援を行っており、今後対応する国・地域を順次拡大していく。

 IIJでは、各企業に対して、法的な義務のみならず、消費者が安心できる情報開示を行うためのアドバイスや、クッキーバナー導入による適切な同意管理など、企業の社会的責任としてのプライバシー保護対策整備を支援していく。

 また、クッキーによる個人データ取得の同意確認に有効なクッキーバナーツールの導入・運用支援を、IIJと協働して行うパートナー企業を募集する「クッキーバナーソリューション・パートナープログラム」を開始した。