ガートナージャパン株式会社 (本社:東京都港区、以下ガートナー) は、個人情報保護法の改正を機に、IT/セキュリティ・リーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表しました。企業は今回の個人情報保護法改正のポイントや世界的な法規制のトレンドをつかみ、セキュリティとプライバシーの観点から必要なアクションを速やかに推進すべきです。
ここ数年の度重なるプライバシー侵害および規制当局による勧告や制裁、人工知能 (AI) 利用における倫理の議論、さらには新型コロナウイルス感染症 (COVID-19) を機に監視社会へと進むことへの警鐘など、世界的にプライバシーへの関心が高まり、規制も進んでいます。そのような中、日本では2020年6月5日に改正個人情報保護法が可決・成立し、6月12日に公布されました (備考参照)。
アナリストでバイスプレジデントの礒田 優一は次のように述べています。「日本の個人情報保護法が2005年4月1日に全面施行されてから15年が経ちました。デジタル・テクノロジが進展し、社会が大きく変貌している今、企業は、単に法律に従うという受け身な姿勢ではなく、改めてプライバシー規制の世界的な潮流や本質を理解し、必要なアクションを速やかに実行に移していくことが求められます」
ガートナーは、今回の個人情報保護法の改正を踏まえて、IT/セキュリティとプライバシーの側面から重点的に取り組むべき4つのポイントを解説します (改正の概要については、個人情報保護委員会から公表されています [備考に示すリンク先を参照])。
「個人の権利の在り方」について
今回の改正個人情報保護法では、個人の権利がより尊重され、幅を広げられることとなります。EU一般データ保護規則 (GDPR) では、もともとプライバシーを基本的人権として位置付け、「Subject Right (主体の権利)」に重きが置かれていますが、日本もその方向に一歩前進したことになります。これまで日本では、個人情報の漏洩に注意を払う「セキュリティ」に目が向いていましたが、今後はそれだけでなく個人の「プライバシー」をより尊重・重視する姿勢が企業にとって非常に重要になります。
「事業者の守るべき責務の在り方」について
個人情報の漏洩時には、個人情報委員会への報告および本人への通知が義務化されることとなります。GDPRではこうした報告や通知は既に義務化されていますが、この点においても日本はGDPRに一歩近づいたといえます。COVID-19感染拡大を機に在宅勤務を導入する企業が急増し、人の仕事も、個人情報も、さらに分散が進んでいます。セキュリティ・リーダーは、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握し、万一の漏洩等を想定したインシデント対応プロセスが機能するかを早期に点検すべきです。不当な行為を助長するなど不適正な方法により個人情報を利用してはならない旨も盛り込まれているため (備考に示すリンク先を参照)、そうした意味でも現状把握から早期に着手すべきです。
「データ利活用に関する施策の在り方」について
データ利活用については、IT/プライバシーの観点から特に個人関連情報 (例:Cookie) の扱いについて留意すべき点があります。個人関連情報を第三者が個人データとして (つまり個人を識別できるデータとして) 取得することが想定されるときは、本人の同意が得られていることの確認が企業に義務付けられます。また仮名加工情報が新設されます。それによりデータの利活用が促進される可能性がありますが、個人情報保護委員会から公表される情報 (備考に示すリンク先を参照) を踏まえ、それに従う必要があります。
「ペナルティの在り方」について
改正個人情報保護法では、個人情報保護委員会からの命令への違反、同委員会に対する虚偽報告等についての法定刑が引き上げられることとなります。GDPRの巨額の制裁金に比べれば、今回の改正でもまだ及びませんが、企業はこれを単純に金額だけのインパクトとして捉えるべきではありません。顧客からの信頼を大きく失い、顧客離れが起こった際にビジネスに与える負の影響の方がはるかに甚大です。人権が侵害されるようなビジネスというものは、そもそも成立しません。人権を軽んじ、もうかりそうだから、便利だから、という理由のみで個人情報を利己的に使い回すような企業は、顧客からも社会からも到底受け入れられないでしょう。
前出の礒田は次のようにも述べています。「個人情報保護法は今後も3年ごとに改正があるため、企業には中長期的な視点も必要となります。国内のみの常識ではなく、GDPRをはじめとする、先行する地域や国の動向および先進的な企業のプラクティスにも目を向け、参考にできる部分は自社の取り組みにも反映するなど、次の法改正に備えておくべきです」
ガートナーは、セキュリティとプライバシーの取り組みの最初のステップ (体制やポリシー) として、以下のアクションを早期に開始することを推奨します (実務上の対応については、個人情報保護委員会から公表される情報 [備考に示すリンク先を参照] を踏まえ、また法律の専門家からのアドバイスも受けて、各企業で判断する必要があります)。
新たな体制を構築する
企業におけるプライバシー関連の意思決定では、法律、ビジネス、IT、AIなどの新しいテクノロジやセキュリティが絡む、複雑かつ高度な判断が必要とされます。昨今、世界中で顧客と従業員のプライバシー保護に向けた取り組みを推進するリーダー (以下、「プライバシー・オフィサー」と呼称) が必要とされる状況になっています。日本企業においてもこれは例外ではなく、専門のプライバシー・オフィサーや専門部署を設置する例が見られるようになっています。
プライバシー・ポリシーを刷新する
プライバシー・ポリシーの刷新については、「外部」と「内部」それぞれに向けたプライバシー・ポリシーを検討します。「外部」向けのプライバシー・ポリシーをアップデートする際には、企業の姿勢を明確に示し、親切、丁寧、分かりやすい内容にすることが求められます。一方、「内部」向けには、ガイドラインの作成や、リテラシーや認識向上のための教育を継続的に実施することが必要となります。
礒田は次のように述べています。「個人情報の活用が叫ばれ、そうした取り組みが増えているにもかかわらず、内部向けのガイドラインを作成し、プライバシーのリスクに的確に対応している企業はまだ少ないのが現状です。また、ガイドラインを作成している場合であっても、形式的なものになっている例が多く見られます。形式的な『手続的規律』から本質的な『実質的規律』へと成熟度を高めていく必要があります」
ガートナーのサービスをご利用のお客様は、ガートナー・レポート「日本の個人情報保護法の改正を機に、企業は何をすべきか」(INF-20-79) で詳細をご覧いただけます。
ガートナーのサービスについては、こちらをご参照ください。
https://www.gartner.com/jp/products
【備考】
「広報・お知らせ」( https://www.ppc.go.jp/news/press/2020/ ) (個人情報保護委員会)
「個人情報の保護に関する法律等の一部を改正する法律」の公布について ( https://www.ppc.go.jp/news/press/2020/200612/ ) (個人情報保護委員会)
ガートナーのニュースや最新情報は、Twitterでもご覧いただけます。
