SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

変わる制度と情シス対応

GDPRなど個人情報保護法制への対応を前向きな投資とするために、プライバシー・バイ・デザインの活用を

 過去10年ほどの間、世界各国の個人情報保護関連法制度が大きく変わってきました。日本の個人情報保護法も2017年5月に10年ぶりの改正が施行され、2018年5月にはEUにおける一般データ保護規則(GDPR:General Data Protection Regulation)が施行されました。中国やシンガポール、マレーシア等も新しい法制度を施行。こうした変化に対応していくことは、事業を支える各種ITシステムにも相応の影響を及ぼします。本稿では、こうした個人情報保護関連の法制度に効率よく対応し、ひいては事業を成長させるための前向きな投資としての考え方「プライバシー・バイ・デザイン」について説明します。

大きく変化する個人情報保護関連制度

個人情報保護法の改正法が施行

 「個人情報の保護に関する法律」、いわゆる個人情報保護法(以下、個人情報保護法という)は2017年5月30日に改正法が施行されました。この改正によって、日本における個人情報保護、プライバシー保護に関する法制度は大きな転換点を迎えたと言ってよいでしょう。

 今回の改正では、個人情報保護委員会の設立や匿名加工情報、識別符号に関する定義など、非常に多くの変更が行われており、一定のルールの下に個人に関する情報の利活用を促進すると同時に、国際的なプライバシー保護水準に近づけるための大きな前進になると期待されています。すでに政令や委員会規則、FAQ、委員会レポート、ガイドラインなどが公開されており、企業の実務現場、特に一般消費者の個人情報を取り扱い、今後ビッグデータとして分析・活用や、それに伴う匿名加工情報の作成・利用を考えている企業は留意していく必要があるでしょう。

GDPRの影響と個人データの域外移転とは

 プライバシー保護の枠組みとして、これまでEU加盟国に適用されてきたデータ保護指令に替わり、GDPRが施行されました。2017年以降、日本の大手グローバル企業では対応準備が急速に進んでいますが、2018年になって各種報道でも「GDPR」が大きく取り上げられたことから、更に多くの企業が対応を検討しています。(しかし業種・業態によってリスクは限定的な場合もあり、過剰投資はお薦めしません。)

 GDPRが大きな課題となった理由の1つは、グローバル連結売上の最大4%という高額な罰金と、それを適用する対象に個人データの違法な域外移転が含まれていることです。そもそも、こういった法規制があることを知らずに人事システムなどで欧州から個人データを持ち出し、事実上違法状態になっている日本企業は多いのではないでしょうか。GDPRでは、EUデータ保護指令と同様に、EU域外への個人データの移転を規制しています。自由に個人データを持ち出すことができる移転先はEUが「十分性認定」をした国・地域に限られますが、2018年7月の時点では日本はそれに含まれていません。

 そのため、EU加盟国(正確にはEEA:欧州経済領域まで適用)から日本に個人データを移転するためには、EUが「例外措置」として定めたSDPC、BCR等の手続にしたがう必要があります。この点については日本が十分性認定の取得に向けた日欧間交渉を進めてきた結果、2018年5月、EU域内および日本国内で入手した個人データの移転を相互に認めることについて日欧が実質的に合意しました。この十分性認定取得に向けて日本の個人情報保護委員会は、既に日本側の企業が新たに準拠すべきガイドライン案を公表し、5月25日にパブリックコメント募集を終えています。従って日本における新たなガイドラインや、その他の個人情報保護法に関連した各種の改定等にも注意が必要です。

 ただし、域外移転に関する手続はGDPRへの対応の中の一部にすぎないため、十分性認定が得られたからといって何もしなくて良いわけではありません。特に域外適用を受ける企業(欧州に事業所・子会社等が無くてもGDPRが適用される)は他の法的要件も満たす必要がありますので、引き続き留意が必要だと考えられます。

次のページ
データの活用を進めるためのプライバシー・バイ・デザイン

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
変わる制度と情シス対応連載記事一覧

もっと読む

この記事の著者

北野 晴人(キタノ ハルヒト)

 デロイト トーマツ リスクサービス パートナー。二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコン...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10849 2018/07/24 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング