令和4年4月1日から改正個人情報保護法が施行されますが、これに伴い、ウェブサイトのプライバシーポリシーを改訂する必要が出てきます。
なかでも特に、「個人関連情報の第三者提供の制限等」に関する項目がポイントになると思いますが、まずは「個人情報」と「個人関連情報」の違いを確認しておくことをおすすめします。
「個人情報」については氏名や電話番号、メールアドレス、住所や生年月日などが該当します。
一方、「個人関連情報」については「関連」の文字が付いていますが、IPアドレスやクッキーなど、それ自体では氏名などは分からないものの、アクセス解析などのデータに関連した情報になります。
これまで、サイトのIPアドレスなどのアクセスログについては、公的機関が介入しない限り、それ自体では個人を特定することは困難でしたが、外部に提供することにより判明が可能となってしまう事例が出てきました。
例えば、リクナビの内定辞退率を予測するサービスが問題となりましたが、サイト内での行動パターンなどの情報から、内定を辞退する率を割り出して企業に販売するといった事例がありました。
サイト内での行動履歴などのデータについては、個人関連情報になり、それ自体では個人情報にはなりませんが、提供先の企業ではそのユーザーについての個人情報を保有している場合、それを紐づけすることで間接的には誰がどのような行動履歴をとり、過去のパターンから内定辞退率はどのくらいかということが判明してしまいます。
このようなケースがあるため、今回の改正個人情報保護法では、提供元では個人データに該当しないとしても、提供先で個人データに該当する場合には、本人の同意が得られていることの確認が義務付けられました。
そのため、この点でサイト内のプライバシーポリシーの改訂が必要になってくるものと思われます。