改正個人情報保護法のポイント-要配慮個人情報や個人情報データベース提供罪
GDPRはEU内の個人データを日本など域外に持ち出す場合に何をすればいいのかを定めたものであるのに対し、逆に日本の個人データを海外へ持ち出す場合には改正個人情報保護法が関係してくる。いわゆる「海外への個人情報の第三者提供」だ。日本と同等の水準であることなどが条件として定められている。
また、改正個人情報保護法では「要配慮個人情報」が新設されている。これは従来機微情報とも呼ばれ、特に配慮を要する個人情報が該当し、「あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならな い」など定められている。北野氏は「オプトアウト方式は認められていないことに注意が必要です」と念を押した。
新たな罰則となる個人情報データベース提供罪も要注意だ。これは情報漏えいに関する罰則と考えていいだろう。データの情報漏えいだと刑法で定める窃盗罪を適用することはできず、こうした別の法律によって罰則を科す必要がある。実際には量刑の大小なども考慮して、不正競争防止法や不正アクセス禁止法などと比較して適用の可否が判断されることになりそうだ。
また、個人情報保護委員会も新設される。EUのデータ保護機関に近く、第三者提供や共同利用、匿名加工情報の取り扱いなどについて各種の届出が必要な場合がある。また深刻な違反があった場合は立ち入り調査を行う権限も持つため、注意が必要である。
GDPRや改正個人情報保護法への対策の基本として、北野氏は「管理態勢と情報システムの両面で対応が必要です」と話す。現状把握から計画を策定し、必要な対応策の実施へとプロジェクトで進めていく必要がある。
出所:デロイトトーマツリスクサービス株式会社 Security Online Day 2016 講演資料より
[クリックすると図が拡大します]
大事なのは成長とリスクのバランスだ。ビジネスの成長のためには必ず一定のリスクテイクが行われるはずであって、そのリスクはコントロールできる状態にしておかなくてはならない。リスクに合わせた対策や投資をすること、また万が一の事態のために準備をしておくこと、監督機関はもちろん、顧客や取引先、自社を取り巻く社会など、あらゆるステークホルダーに対して説明責任を果たせるようにしておくことが、企業価値を守ることにつながると考えるべきである。
