「改正個人情報保護法」施行に向けた企業が今から取り組むべきアクション-Gartner

People Centric (人中心) な取り組みを強化する

ガートナージャパン株式会社 (以下Gartner) は、日本における2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべきアクションを発表しています。

 

取り組みが必要となるその理由

EUが一般データ保護規則 (GDPR) を2018年に導入して以来、各国におけるプライバシー規制の取り組みが本格的に進んでいます。
モダンなプライバシー法を制定した国では、規制当局による対処が拡大し、プライバシー規制の奥行きが増しています。
一方、何十年もプライバシー規制を近代化していなかった国では、新たなデータ・エコノミーへの加入を求めて新法を制定するなどして、規制の範囲 (幅) を拡大しています。

日本においては、3年ごとに個人情報保護法の見直しが検討されることになっており、2022年の全面施行に向けた検討が進む中、2021年8月2日に個人情報保護委員会から改正個人情報保護法の詳細を定める法令・規則、さらにはガイドラインが公表されています (*)

アナリストでバイス プレジデントでもある礒田 優一氏は次のように述べています。

「世界中でデータ活用における取り組みが進んでいますが、その成否を分ける重要なポイントは、セキュリティとプライバシーの本質を理解することです。プライバシーは人間である以上、必要不可欠であり、基本的な人権です。プライバシーを軽視するということは、人権を軽視するということであり、企業は対応を誤れば信頼を大きく失います。企業は、法規制の動向を理解するのみではなく、そうした本質に立ち返り、People Centric (人中心) の視点から、より誠実で透明性のある取り組みを推進する必要があります」

 

備えるべきこととは

Gartnerは2020年6月に、本件に関して企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ (体制の構築やセキュリティ・ポリシー) について発表してきました。
今回、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ/リスク・マネジメントのリーダーが取り組むべきポイントを解説します。 (図1参照)

図1. 2022年4月の改正個人情報保護法の全面施行前に、備えるべきこと

<出典:Gartner (2021年9月)>

「改正個人情報保護法」の全面施行に向けて、まずはプライバシー、セキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能とする体制を整え、内外のポリシーをPeople Centric (人中心) な視点からアップデートし、アウェアネス・トレーニングを実施する必要があります。
その上で、プロセス上の対応を見直すことになります (「改正個人情報保護法」では個人情報保護法上のデータの定義や取り扱いについて、「保有個人データ」「個人関連情報」「仮名加工情報」「越境データ」などで変更/追加があります)。
ここでの見直しには、データ主体の権利のリクエスト (SRR) 対応、プライバシー・インパクト・アセスメント (PIA)、漏洩時の対応などについても含まれます。さらに、システム/技術的な対応についても検討する必要があります。
例えば「個人関連情報」「仮名加工情報」が今回の改正で新たに定義されていますが、それらへの対応や、SRR対応、漏洩時の対応の取り組みを強化する中で、技術/システム的な対応が課題になる可能性があります。

前出の礒田氏は次のようにも述べています。

「プライバシーの議論は今後10年では収束せず、発展途上の状態が続くでしょう。既存のテクノロジに加えて、プライバシーを強化する新しいテクノロジ (プライバシー強化コンピュテーション) なども出現しています。企業は、そうしたテクノロジのトレンドにも目を向けつつ、People Centric (人中心) な取り組みを強化し、成熟度を高め、規制コンプライアンスの先を行く必要があります。『法令遵守の形式的対応』から『人間重視のプライバシーの議論』へと軸足を移すことで、『当社はコンプライアンスに反していないか』ではなく『当社は正しいことを行っているか』が議論されるようになります」

 

(*) 個人情報保護委員会:「個人情報の保護に関する法律についてのガイドライン (通則編)」
https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf
(**) Gartnerのリサーチは法的問題に関する記述を含む場合がありますが、Gartnerは法的アドバイスやサービスを提供するものではありません。実務上の対応については、個人情報保護委員会から公表される情報を踏まえ、また法律の専門家からのアドバイスも受けて、各企業で判断する必要があります。

 

さらなる詳細の情報は、リサーチノート「クイック・アンサー:『改正個人情報保護法』2022年の全面施行に向けて今から備えるべきこと」にて知ることができます。


Gartnerは来る10月6~8日に、ガートナー セキュリティ&リスク・マネジメント サミット 2021をバーチャル (オンライン) で開催します。
本サミットでは、デジタル・イノベーション時代のセキュリティに照準を合わせ、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。プライバシーやセキュリティなどのデジタル・リスク管理については、前出の礒田をはじめとした国内外のエキスパートによる講演を予定しています。


Gartnerについて

Gartner, Inc. (NYSE: IT、S&P 500) は、世界有数のリサーチ&アドバイザリ企業である。ビジネス・リーダーが今日のミッション・クリティカルなビジネス課題の解決を実現し、将来にわたって成功する組織を築くために欠かせない知見、アドバイス、ツールを提供している。

Gartnerのリサーチは、エキスパート主導かつ、実務担当者からの情報に基づき、データを重視したもので、この比類なきサービスにより、お客様が重要な課題に対して正しい判断を下せるよう導く。業界や企業規模を問わず、ほとんどすべての職務領域にわたり、Gartnerは信頼されるアドバイザーならびに客観性を備えたリソースとして、国内のみならず世界100カ国以上、1万4,000社を超える企業に支持されている。


本レポートは、ガートナージャパン様の”Article”の内容を元に作成しております。
ソース:https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20210915

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  2. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  3. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  4. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  5. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  6. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  7. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  8. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  9. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

  10. DX時代の情シス基礎知識#01【IT戦略編】

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る