IT部門は法令対応で新たな役割・責任が求められる
まず、個人データの取扱いに係る従来の管理策としては、「①本人への情報提供と同意取得」、「②安全管理」、「③本人要求への対応」「④第三者提供の制限」の4点のみを規定している企業が多いです。 これは、図1のような“シンプルな個人データの取扱いモデル”を前提とする、国内の旧個人情報保護法に対応するものでした。
これらの中で、IT部門は②の「安全管理」にフォーカスし、ユーザ認証やアクセス制御、電子媒体へのパスワード付与といった、データ保護のセキュリティ対策に専心してきたものと思います。もちろん、これらの管理策やIT部門の役割は、引き続き重要なものであることに変わりありません。
図1:従来の個人データ取扱い想定モデルと企業の管理策
しかしながら、これまでの連載で紹介してきたとおり、個人データの取扱い環境が大きく変わる中で、各国の個人データ保護法制も様々な点で変わってきています。
図2は「現在の典型的な個人データ取り扱いモデル例」を示したものです。データ活用の高度化、サービスのパーソナライズ化に伴ってデータの流れも複雑化し、その流通範囲もグローバルに広がってきています。
これに対応して、各国の関連法令においても、「⑤PbD(プライバシーバイデザイン)の実施」や「⑥記録の作成と適切な事故対応」、「⑦データ主体の所在国別法令要件への対応」、「⑧国際移転の制限」といった、新たな企業の責任を規定するようになってきました。
図2:現在の典型的な個人データ取扱いモデル例
例えば、個人データの取得に関する例として、会員番号等のID発行と引き換えに、まずは基本的な個人データの取得が行われ、その後、利用履歴などの追加的な個人データが継続的に収集・蓄積される、といったケースが多く見られるようになってきました。
このようなケースにおいては、最初の基本的な個人データの取得は明示的に行われるものの、その後の個人データの取得は、本人がほとんど意識していない状態で行われることも少なくありません。CookieでWebの閲覧履歴がモニタリングされていたり、商品の購入でポイントを付与される都度、購買履歴が収集されていたりするといったケースなどがその例です。
このような個人データの取扱い環境の複雑化に対して、法規制の側では、新たに「⑤PbD(プライバシーバイデザイン)の実施」などを求めてバランスを取ってきているわけです。すなわち、新たな個人データの取扱いを開始する場合において、予め本人のプライバシー侵害のリスクがないのか、あるいは本人への説明は十分かつ正確に行われるようになっているのか、といった事前評価を求め、認識されたリスクへの対処を義務付けるようになってきている、ということです。
また、個人データの取扱い形態や法規制の要件が変わる中で、IT部門に期待される役割も変わってきました。
前述のとおり、従来の個人データ管理策は図3左側①~④が中心で、IT部門の役割の中心はその中の「②安全管理」でした。しかし、個人データの取得から本人要求への対応に至るまで、ほとんどの取扱いプロセスがIT環境上で行われるようになってきたため、IT部門では、従来の①~④のすべてに関して、IT環境の設計・構築を担う立場としての役割・責任を担うようになってきました。IT環境の提供者として、その設計段階においてコンプライアンス要件の組み込みが求められる、といった新たな役割・責任を求められている、ということです。
