SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

IT部門が鍵を握る!世界の個人情報保護規制への対応

法令対応で力量が試されるIT部門。各国の個人情報保護法令と企業の管理策まとめ

 この連載では、世界各国の個人情報保護法令のトレンドと、それらの法令対応においてIT部門に期待される役割、またそういったIT部門の役割をサポートするツール類などについて、これまで4回に渡って概観してきました。最後にまとめとして全体の要点を整理していきます。

IT部門は法令対応で新たな役割・責任が求められる

 まず、個人データの取扱いに係る従来の管理策としては、「①本人への情報提供と同意取得」、「②安全管理」、「③本人要求への対応」「④第三者提供の制限」の4点のみを規定している企業が多いです。 これは、図1のような“シンプルな個人データの取扱いモデル”を前提とする、国内の旧個人情報保護法に対応するものでした。

 これらの中で、IT部門は②の「安全管理」にフォーカスし、ユーザ認証やアクセス制御、電子媒体へのパスワード付与といった、データ保護のセキュリティ対策に専心してきたものと思います。もちろん、これらの管理策やIT部門の役割は、引き続き重要なものであることに変わりありません。

図1:従来の個人データ取扱い想定モデルと企業の管理策

 しかしながら、これまでの連載で紹介してきたとおり、個人データの取扱い環境が大きく変わる中で、各国の個人データ保護法制も様々な点で変わってきています。

 図2は「現在の典型的な個人データ取り扱いモデル例」を示したものです。データ活用の高度化、サービスのパーソナライズ化に伴ってデータの流れも複雑化し、その流通範囲もグローバルに広がってきています。

 これに対応して、各国の関連法令においても、「⑤PbD(プライバシーバイデザイン)の実施」や「⑥記録の作成と適切な事故対応」、「⑦データ主体の所在国別法令要件への対応」、「⑧国際移転の制限」といった、新たな企業の責任を規定するようになってきました。

図2:現在の典型的な個人データ取扱いモデル例

 例えば、個人データの取得に関する例として、会員番号等のID発行と引き換えに、まずは基本的な個人データの取得が行われ、その後、利用履歴などの追加的な個人データが継続的に収集・蓄積される、といったケースが多く見られるようになってきました。

 このようなケースにおいては、最初の基本的な個人データの取得は明示的に行われるものの、その後の個人データの取得は、本人がほとんど意識していない状態で行われることも少なくありません。CookieでWebの閲覧履歴がモニタリングされていたり、商品の購入でポイントを付与される都度、購買履歴が収集されていたりするといったケースなどがその例です。

 このような個人データの取扱い環境の複雑化に対して、法規制の側では、新たに「⑤PbD(プライバシーバイデザイン)の実施」などを求めてバランスを取ってきているわけです。すなわち、新たな個人データの取扱いを開始する場合において、予め本人のプライバシー侵害のリスクがないのか、あるいは本人への説明は十分かつ正確に行われるようになっているのか、といった事前評価を求め、認識されたリスクへの対処を義務付けるようになってきている、ということです。  

 また、個人データの取扱い形態や法規制の要件が変わる中で、IT部門に期待される役割も変わってきました。  

  前述のとおり、従来の個人データ管理策は図3左側①~④が中心で、IT部門の役割の中心はその中の「②安全管理」でした。しかし、個人データの取得から本人要求への対応に至るまで、ほとんどの取扱いプロセスがIT環境上で行われるようになってきたため、IT部門では、従来の①~④のすべてに関して、IT環境の設計・構築を担う立場としての役割・責任を担うようになってきました。IT環境の提供者として、その設計段階においてコンプライアンス要件の組み込みが求められる、といった新たな役割・責任を求められている、ということです。

次のページ
ITサービス、セキュリティ製品の活用で試される力量

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
IT部門が鍵を握る!世界の個人情報保護規制への対応連載記事一覧

もっと読む

この記事の著者

大洞 健治郎(オオボラ ケンジロウ)

KPMGコンサルティング株式会社 ディレクター
情報管理分野のアドバイザリーを幅広くリード。KPMGグローバル プライバシーアドバイザリーグループのメンバーとして、世界152カ国のメンバーファームと連携し、多数のグローバル企業へ個人情報管理態勢の構築支援サービスを提供。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9636 2017/08/18 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング