改正個人情報保護法施行から半年--消費者の不安や嫌悪感に対応できているか

阿久津良和

2022-12-02 08:00

 KPMGコンサルティングは12月1日、4月1日に施行された改正個人情報保護法から半年が経過したことを踏まえて、記者向け勉強会を開催した。同社 テクノロジーリスクサービス アソシエイトパートナー 勝村学氏は「データを扱う日本企業は(開示プロセスなどが問題で)全世界のユーザーから信頼を得る点段階で苦心」していると指摘している。

「Cookieの仕組みがよくわからない」という問題

 改正個人情報保護法は、企業に対して個人の権利や利益を害する恐れがある漏洩が発した際、個人情報保護委員会と本人への報告を義務化し、保有個人データ開示請求時のデジタル対応や安全管理公表義務化などを定めている。

KPMGコンサルティング テクノロジーリスクサービス アソシエイトパートナー 勝村学氏
KPMGコンサルティング テクノロジーリスクサービス アソシエイトパートナー 勝村学氏

 違反した場合は1年以下の懲役もしくは100万以下の罰金、報告義務違反も30万円から50万円へ拡大し、消費者向けビジネスを手掛ける企業の対応を求めている。

 改めて述べるまでもなく個人情報の保護は世界的な潮流である。勝村氏は日本を含めた各国の規制について「(日本の規制は)ユーザーに対するコミュニケーションが乏しい。(政府は)ガイドラインで企業に明示化しているが、国内企業の対応は(海外と)差が生じている」と指摘した。

各国の規制内容比較 各国の規制内容比較
※クリックすると拡大画像が見られます

 日本企業も人口減少に伴う市場縮小を踏まえた海外展開を想定しているはずだが、壁となるのは全世界の消費者から信頼を得られるか否かである。データ保護や各国の法令遵守はもとより、消費者の不安や嫌悪感を打ち消す取り組みが必要だ。

 KPMGコンサルティングが10月20日~11月22日に、東京証券取引所に上場する大型株100銘柄「TOPIX100」を構成する企業に対して調査したところ、プライバシーポリシーの更新状況は5%の企業が「未対応」、改訂履歴の記載状況は81%の企業が「未記載」のままである。

 消費者に提示するプライバシーポリシーの充実性についても、利用目的(16%)、安全管理措置(40%)、開示など(15%)改善を求められる企業が多かった。可読性の観点では視認性(37%)、一覧性(31%)、平易性(34%)の観点で改善の余地が見られる。

 消費者が個人情報について問い合わせる窓口も、事務局系(26%)、カスタマーセンター系(27%)、その他(19%)と企業によって異なり、「消費者と一貫したコミュニケーションを確立するには一本化が必要。ガバナンスの観点からも重要な論点」(勝村氏)となるのは火を見るよりも明らかだ。

日本企業に求められる消費者への透明性 日本企業に求められる消費者への透明性
※クリックすると拡大画像が見られます

 改正個人情報保護法施行にあわせて、KPMGコンサルティングは国内2000人の20~70代を対象にした「Cookie(クッキー)同意」に関する意識を調査。企業のウェブサイトを訪れた消費者に対してCookieバナーに「同意」する割合は27%、多くを占めた38%は「自身でカスタマイズを施している」という。企業に対して不信感を覚えた際の「同意しない、同意範囲を制限する」割合は88%と高く、その割合は年齢が上がるほど高くなっている。

KPMGコンサルティング テクノロジーリスクサービス パートナー 大洞健治郎氏
KPMGコンサルティング テクノロジーリスクサービス パートナー 大洞健治郎氏

 ウェブサイト初回閲覧時に現れるCookieバナー自体に対して「煩わしさを感じる」割合は80%。一方、Cookieを利用した「パーソナライズ化に対しても利便性を感じている」のは36%にとどまり、64%が「不便」だと回答している。同社 テクノロジーリスクサービス パートナー 大洞健治郎氏は「(Cookie利用に対する)不安の裏返し」だと推察した。

 ただし、Cookieに対する理解度は高くない。Cookieの利用用途に「理解している」割合は6%が十分理解、35%が「なんとなく理解」。「あまり理解していない」「理解していない」は59%となっている。企業に求める説明も「具体的なリスク」(38%)や「用途」(24%)、「データ共有先」(24%)が希望して並んだ。

 大洞氏も「(Cookieの仕組みが)『よくわからない』がキーワード。デジタル社会を迎える上での問題点」と解説する。

 大洞氏は「Cookie問題は全体の一部。世界各国で個人情報保護法制が次々と生み出し、デジタル社会を目指しているが、データ利活用に対する新たなプライバシーリスクが後手に回っている」と述べた。

 ベルギーのデータ保護監督機関であるAutorité de protection des données(APD)が2022年に透明性欠如を理由に、「Transparency & Consent Framework(TCF)」(リアルタイム広告入札プロトコルであるOpenRTBを使用する企業が利用する管理プラットフォームでポップアップさせるインターフェース)を欧州連合(EU)の「一般データ保護規則」(GDPR)に違反した事例があることを大洞氏は紹介した。また、オンラインメディアやSNSなどを参照したデータが第三の事業者に渡され、消費者の目が届いていないケースもあることが披露された。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]