フォーティネット・登坂恒夫がビジネス観点で考えるセキュリティ戦略
多額の制裁金を課される恐れも、国境をまたぐプライバシー法規制の適用に注意
【提言】訪日観光客増加でリスクが上昇、インバウンド業界は「個人情報保護対策」見直しを
日本のインバウンドビジネスが活況を見せる一方、各国/地域のプライバシー法規制が進むことで、訪日観光客の個人情報の取り扱いには“新たなリスク”が生まれています。元IDC Japanアナリスト、現フォーティネットジャパン Field CISOの登坂恒夫氏による寄稿です。
日本政府観光局(JNTO)によると、2025年2月の訪日客数(推計値)は325万8100人に達し、前年同月(2024年2月の278万8224人)比で16.9%増となりました。2月の訪日客数としては過去最高を記録し、初めて300万人を突破したとのこと。
JNTOの統計データをみると、2024年の訪日外国人観光客数は3687万人を超えています。そのうち8割はアジア圏からで2975万人超、次いで北米地域から348万人ほど、ヨーロッパ圏からも239万人が来日しています。
地域別訪日客数 2014~2024年の推移(出典:JNTOによる統計データを基に作成)
訪日外国人は各地の宿泊施設に泊まり、さまざまなサービスやイベントの提供を受けますが、その際に「個人情報の収集」が発生することがあります。ここで課題となるのが、国/地域をまたいで適用されるプライバシー法規制への対応です。
訪日観光客の個人情報保護には、海外の法規制が適用される場合も
近年では、EUのGDPR、日本の個人情報保護法をはじめ、中国、シンガポールやタイ(PDPA)、インド、米国カリフォルニア州(CCPA)、ブラジルなど、各国/地域でプライバシー法が制定され、施行されています。これらは「データが生成された国/地域の法律に従う」というデータ主権の考えに基づく法規制であり、日本国内で収集した個人情報は、外国人観光客の情報であっても日本の個人情報保護法の対象になります。
一方で、訪日観光客の個人情報が、データ主権の考えに基づく「日本以外の国/地域」で収集された場合、その国/地域の個人情報保護法の対象になります。
たとえば、EUのGDPRにおいては、EU域内で提供されるオンラインサービスから収集したEU居住者の個人情報と、日本国内で得た個人情報を結び付けて一体化した場合に、GDPRが適用される恐れがあります。具体的には、訪日観光客の個人情報をEU域内の予約サイトから収集し、フロントで記入された宿泊カードの情報とひも付けて保存する場合などが考えられます。GDPRは海外の個人情報保護法で最も制裁金が厳しく、違反した場合は、最大で全世界の年間販売額の4%または2000万ユーロ(約26億円)という多額の制裁金が課されます。
加えて言うと、委託先の予約サービスを利用している場合でも、宿泊施設やレンタカー事業者などの委託元事業者は個人情報保護法を遵守しなければなりません。特に、海外の予約サービスを利用してEU域内で収集した個人情報を扱う場合は、GDPRが適用される恐れがあるので注意が必要です。
また、GDPRでは、情報漏洩などのインシデントが発覚してから72時間以内に監督機関へ報告する義務があることはよく知られています。しかし、それだけではありません。データ主体(個人情報の所有者である個人)の権利を尊重し、収集された個人情報へのアクセス権や削除権を認めており、30日以内に要求に応える必要があります。同様に、日本の個人情報保護法でも、プライバシーデータの利用停止や消去、第三者提供の停止、第三者提供記録の開示を請求できる旨が規定されています。
データ主体の権利への対応(アクセス権、削除権)
GDPR施行以後の制裁金の賦課状況をみると、本人の同意やデータ移転の違反といった「一般的なデータ処理原則への違反」、法的根拠が不十分のまま個人情報を収集するなどの「データ処理の法的根拠が不十分」、「情報セキュリティを確保するための技術的および組織的対策が不十分」が、制裁金の賦課件数、合計金額ともに上位3つにリストアップされています。また、時間的な制約がある「データ主体の権利の不十分な履行」と「情報提供義務の不十分な履行」においても、制裁金の件数が200件前後と比較的多い状況です。
GDPR施行から現在まで(2018年7月~2025年2月)の制裁金賦課状況(出典:GDPR Enforcement Trackerのデータを基に作成)
日本の個人情報保護法も改正を検討中、その動向には注目を
日本の個人情報保護法も、2025年は3年ごとの見直しの時期にあたり、改正内容が検討されています。現在改正が検討されている点は、(1)個人の権利利益への影響という観点も考慮した同意規制の在り方、(2)本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方、(3)心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い、の3点が公表されています。
(1)については本人同意の緩和、(2)については本人への通知義務の緩和が含まれます。一方で、(3)は16歳未満の子供の個人情報への取扱いについての規定で、新規に追加される内容となります。事業者は個人情報を収集する際に、16歳未満の子供なのかどうかを区別する仕組みが必要となり、法定代理人からの同意取得や当該法定代理人への通知等を考慮する必要があります(参考資料:個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」)。
* * *
国内の事業者は、インバウンド需要の拡大に伴い、訪日外国人に接する機会が以前にも増して多くなってきています。そして、付加価値のあるサービス提供も検討されていることと思います。日本人だけでなく外国人の個人情報を取り扱うケースが増えた状況の中では、日本の個人情報保護法に順守した対応がなされているかだけでなく、EUのGDPRが適用される可能性はないか、外国人の個人情報の取り扱いが海外のプライバシー法規制に抵触する恐れがないかを、いま一度見直すことが必要です。
また、2025年の個人情報保護法改正に向けた対応を検討することも必要になってきます。知らずに違反を犯してしまう恐れもありますので、法務関係の方などに確認することをお勧めします。
■筆者プロフィール
登坂 恒夫(とさか つねお)
2021年9月、フォーティネットジャパンにマーケティング本部 Field CISOとして入社。情報セキュリティ全般を通して、ユーザー企業の情報セキュリティ責任者に対して技術や脅威などの動向をお伝えするとともに、情報セキュリティ責任者との意見交換を通じて課題解決に向けた取り組みを支援する。フォーティネットジャパン入社前は、IDC Japanにおいて10年以上国内のセキュリティ市場調査アナリストに従事。国内のセキュリティ市場全般に深い洞察を持つ。これまでに、SE業務、コンサルティング業務、サポート業務と幅広くIT業務を20年以上にわたり経験。