ガートナー ジャパンは、6月19日、個人情報保護法の改正を機に、IT/セキュリティリーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表した。
最初のポイントは「個人の権利の在り方」になる。6月5日に可決・成立し、12日に公布された改正個人情報保護法では、個人の権利がより尊重されるため、企業にとっても個人の「プライバシー」をより尊重・重視する姿勢が非常に重要になる。
2つめのポイントは「事業者の守るべき責務の在り方」になる。ガートナーは、在宅勤務の導入が進み、個人情報の分散が進む中で、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握すべきとしている。また、万一の漏洩などを想定したインシデント対応プロセスが機能するかを、セキュリティリーダーが早期に点検する必要があるとも指摘する。
改正個人情報保護法では、不当な行為を助長するなど、不適正な方法により個人情報を利用してはならない旨も盛り込まれているため、早期に現状把握を行うことを求めている。
3つめのポイントは「データ利活用に関する施策の在り方」になる。個人関連情報を第三者が個人データとして取得することが想定される場合は、本人の同意が得られているかの確認が企業に義務付けられる。一方で、仮名加工情報が新設され、データの利活用が促進される可能性があるものの、個人情報保護委員会から公表される情報を踏まえ、それに従う必要がある。
4つめのポイントは「ペナルティの在り方」になる。個人情報保護委員会からの命令への違反、同委員会に対する虚偽報告などによって、顧客からの信頼を大きく失い、顧客離れが起こった際にビジネスに与える負の影響が甚大になる。ガートナーは、セキュリティとプライバシーの取り組みの最初のステップとして、以下のアクションの早期開始を推奨している。
- 新たな体制を構築する
- プライバシーポリシーを刷新する
新たな体制の構築では、専門のプライバシーオフィサーや専門部署の設置が求められるとみている。企業におけるプライバシー関連の意思決定に法律、ビジネス、IT、AIなどの新しいテクノロジーやセキュリティが絡む、複雑かつ高度な判断が必要とされることから、日本企業も例外ではないとする。
プライバシーポリシーの刷新では、「外部」と「内部」それぞれに向けたプライバシーポリシーを検討する。「外部」向けでは企業の姿勢を明確に示し、親切、丁寧、わかりやすい内容にする必要がある。また、「内部」向けではガイドラインの作成や、リテラシーや認識向上のための教育を継続的に実施することを求めている。
