近年、あらゆる事業者における個人情報の管理というのはますますセンシティブなものになってきています。

サイトオーナーやECサイト運営者も例外ではなく、個人情報保護法に則ったサイト運営を行うことは非常に重要です。

そこで今回は、ECサイト運営と個人情報保護法の関わりについて解説します。

参考になりましたら幸いです。

個人情報保護法とは？

個人情報保護法とは、その名の通り、生存する個人の情報やプライバシーを保護するための法律です。

個人の氏名、住所、生年月日などの情報は、行政や医療はもちろんのこと、あらゆる事業者によるサービスなどを効率的に活用するために、非常に大きな力を持つものです。

特に近年は、スマートフォンやタブレットなどと合わせてインターネットの普及・進展が進んだことで、従来よりも大量にかつスピーディーに個人情報が取り扱われています。

この個人情報は有用である一方で、慎重に取り扱わないと個人のプライバシーが侵されてしまったり、情報が悪用されてしまったりというリスクも抱えています。

相反する側面を持つ個人情報を適正に活用するためのルールが、「個人情報の保護に関する法律（以下、個人情報保護法）」であるということです。

個人情報保護法の概要

まず初めに、「個人情報」の定義とはどのようなものかについて解説します。

個人情報とは、「個人情報の保護に関する法律（以下個人情報保護法）」という法律の第二条で、下記のように定義されています。

1.当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録で作られる記録をいう。以下同じ。）に記載され、

若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの

（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

2.個人識別符号が含まれるもの

出典：e-GOV法令検索　個人情報の保護に関する法律　※一部表現を改変・省略しています。　

ポイントとなるのは、「特定の個人を識別することができるもの」という文言です。

例えば、電話番号だけでは誰の電話番号であるかを識別できないため、個人情報には該当しません。

しかし、その電話番号と氏名や住所などを組み合わせると、特定の個人が識別できてしまうということになるため、個人情報に該当します。

また、2にある個人識別符号とは、顔認証データや指紋認証データなど、その情報単体から特定の個人を識別できる情報ものです。

マイナンバーや運転免許証番号なども2に該当するため、こちらも個人情報に該当します。

そして、個人情報保護法では、ECサイト運営者がこれら個人情報の取り扱う上で、下記の4つの原則的なルールというものを定めています。

1.取得・利用について
2.保管・管理について
3.提供について
4.開示請求等への対応について

（※厳密にはEC運営者や事業者に限らず、個人情報に関わる自治会・同窓会などの組織も守らなければいけないルールとなります。）

詳しくはそれぞれ次項にて解説します。

参照：政府広報オンライン　「個人情報保護法」をわかりやすく解説　個人情報の取扱いルールとは？　　

個人情報保護法の基本的なルール

個人情報や個人データを取り扱うときの基本的なルールは、下記の通りです。

1.取得・利用について

まず、事業者が個人情報を取り扱う際には、「どのような目的で個人情報を利用するのか」を具体的に特定し、その内容を公表する必要があります。

また、取得した個人情報は、利用目的の範囲でのみ利用しなければならず、範囲外のことに利用する場合、あらかじめ本人の同意が必要です。

ECサイトにてユーザーが商品やサービスを購入する際、氏名・住所やクレジットカード番号などの個人情報は不可欠です。

そのため、ECサイトのわかりやすい部分に、ユーザーにアナウンスする必要があるということになります。

2.保管・管理について

次に、個人データを保管する際には、漏洩や流出が生じないよう、安全に管理するための措置を講じなければなりません。

もし万が一、個人データの漏えい等が発生した場合には、個人情報保護委員会に報告し、ユーザー本人に通知する義務があります。

データを保管する際は鍵付きのファイルに管理するといったことはもちろん、セキュリティソフトの導入なども検討するといいでしょう。

3.提供について

警察、裁判所、税務署等からの照会といった特殊なケースを除き、個人データを本人以外の第三者に提供するときは、原則あらかじめ本人の同意が必要です。

また、第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したかを記録しておく必要があり、保存期間は原則3年となっています。

通常のECサイト運営においては一般的に特殊なケースはかなり珍しいと思いますので、「個人情報は原則第三者に公開しない」と考えておくといいと思います。

4.開示請求等への対応

個人情報の取扱いに対する苦情を受けたときや、個人情報の訂正・利用停止などの請求がユーザーからあった場合は、適切かつ迅速に対処する必要があります。

上記、項目3で紹介したような、第三者に個人データを提供した記録も開示請求の対象です。

保有個人データの開示方法については、電本人が請求した方法で対応する必要があり、都度対応する形となります。

個人情報保護法改正の背景

個人情報保護法は3年毎に内容の見直し・改定されるというルールがあり、直近では2022年4月に改正されています。

今回の改正において特に象徴的なものとしては、外国の第三者への個人情報の提供規制が強化されたという点です。

これまでは、ユーザーの同意を得られた場合や、日本と同等水準の個人情報保護制度が整備されている国への提供であれば、外国の第三者への個人データ提供が許可されていました。

それに対し今回の改正で、「データ移転先の国名及び、移転先の国での個人情報保護に関する制度についての情報を、ユーザー本人に提供しなければならない」というルールが追加されています。

これは以前別記事でも解説しましたが、EUにおけるGDPR規制が影響していると考えられます。

【関連記事】電気通信事業法改正の背景　

国際的に、個人情報保護への関心が高まってきているという風潮を受け、より一層の規制強化がなされたというのが背景です。

改正に伴って対応が必要なこと

上記で紹介した今回の改正を受け、あまり多くはないと思いますが、海外在住の顧客を持つECサイト運営者は、特にケアしておく必要があります。

移転先の国での個人情報保護制度に関する情報とは、具体的に下記のようなポイントになります。

・提供先の第三者が所在する外国の名称
・該当する外国での、個人情報保護に関する制度
・提供先の第三者が講じる、個人情報保護のための措置に関する情報

外国にある第三者への情報提供を行う機会がある場合、本人同意を得る際に上記情報を提供する義務が加えられたということです。

その他、改正今回の個人情報保護法改正に対するチェックポイントと対応については、総務省個人情報保護委員会がまとめています。

下記にリンクを記載しておきますので、あなたのECサイトのプライバシーポリシーと見比べつつ、確認を行なってみてください。

参考リンク：個人情報保護委員会　改正個人情報保護法対応チェックポイント　

まとめ

繰り返しお伝えしてきた通り、事業者による個人情報保護のための対策は、国際的にも非常に重要視されてきています。

特に海外在住の方との関連があるようなECサイトを展開されている場合、個人情報保護を疎かにすると大きなリスクとなります。

急なトラブルに巻き込まれてしまわないように、定期的に法律に関する情報を入手しつつ、ECサイトと情報管理体制を更新していく必要があるでしょう。

本日も最後までお読みいただき、ありがとうございました。