Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

GDPRなど個人情報保護法制への対応を前向きな投資とするために、プライバシー・バイ・デザインの活用を

edited by Operation Online   2018/07/24 06:00

 過去10年ほどの間、世界各国の個人情報保護関連法制度が大きく変わってきました。日本の個人情報保護法も2017年5月に10年ぶりの改正が施行され、2018年5月にはEUにおける一般データ保護規則(GDPR:General Data Protection Regulation)が施行されました。中国やシンガポール、マレーシア等も新しい法制度を施行。こうした変化に対応していくことは、事業を支える各種ITシステムにも相応の影響を及ぼします。本稿では、こうした個人情報保護関連の法制度に効率よく対応し、ひいては事業を成長させるための前向きな投資としての考え方「プライバシー・バイ・デザイン」について説明します。

大きく変化する個人情報保護関連制度

個人情報保護法の改正法が施行

 「個人情報の保護に関する法律」、いわゆる個人情報保護法(以下、個人情報保護法という)は2017年5月30日に改正法が施行されました。この改正によって、日本における個人情報保護、プライバシー保護に関する法制度は大きな転換点を迎えたと言ってよいでしょう。

 今回の改正では、個人情報保護委員会の設立や匿名加工情報、識別符号に関する定義など、非常に多くの変更が行われており、一定のルールの下に個人に関する情報の利活用を促進すると同時に、国際的なプライバシー保護水準に近づけるための大きな前進になると期待されています。すでに政令や委員会規則、FAQ、委員会レポート、ガイドラインなどが公開されており、企業の実務現場、特に一般消費者の個人情報を取り扱い、今後ビッグデータとして分析・活用や、それに伴う匿名加工情報の作成・利用を考えている企業は留意していく必要があるでしょう。

GDPRの影響と個人データの域外移転とは

 プライバシー保護の枠組みとして、これまでEU加盟国に適用されてきたデータ保護指令に替わり、GDPRが施行されました。2017年以降、日本の大手グローバル企業では対応準備が急速に進んでいますが、2018年になって各種報道でも「GDPR」が大きく取り上げられたことから、更に多くの企業が対応を検討しています。(しかし業種・業態によってリスクは限定的な場合もあり、過剰投資はお薦めしません。)

 GDPRが大きな課題となった理由の1つは、グローバル連結売上の最大4%という高額な罰金と、それを適用する対象に個人データの違法な域外移転が含まれていることです。そもそも、こういった法規制があることを知らずに人事システムなどで欧州から個人データを持ち出し、事実上違法状態になっている日本企業は多いのではないでしょうか。GDPRでは、EUデータ保護指令と同様に、EU域外への個人データの移転を規制しています。自由に個人データを持ち出すことができる移転先はEUが「十分性認定」をした国・地域に限られますが、2018年7月の時点では日本はそれに含まれていません。

 そのため、EU加盟国(正確にはEEA:欧州経済領域まで適用)から日本に個人データを移転するためには、EUが「例外措置」として定めたSDPC、BCR等の手続にしたがう必要があります。この点については日本が十分性認定の取得に向けた日欧間交渉を進めてきた結果、2018年5月、EU域内および日本国内で入手した個人データの移転を相互に認めることについて日欧が実質的に合意しました。この十分性認定取得に向けて日本の個人情報保護委員会は、既に日本側の企業が新たに準拠すべきガイドライン案を公表し、5月25日にパブリックコメント募集を終えています。従って日本における新たなガイドラインや、その他の個人情報保護法に関連した各種の改定等にも注意が必要です。

 ただし、域外移転に関する手続はGDPRへの対応の中の一部にすぎないため、十分性認定が得られたからといって何もしなくて良いわけではありません。特に域外適用を受ける企業(欧州に事業所・子会社等が無くてもGDPRが適用される)は他の法的要件も満たす必要がありますので、引き続き留意が必要だと考えられます。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 北野 晴人(キタノ ハルヒト)

     デロイト トーマツ リスクサービス パートナー。二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコン...

バックナンバー

連載:変わる制度と情シス対応
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5