ガートナージャパン株式会社 (以下Gartner) は、日本における2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべきアクションを発表しています。
取り組みが必要となるその理由
EUが一般データ保護規則 (GDPR) を2018年に導入して以来、各国におけるプライバシー規制の取り組みが本格的に進んでいます。
モダンなプライバシー法を制定した国では、規制当局による対処が拡大し、プライバシー規制の奥行きが増しています。
一方、何十年もプライバシー規制を近代化していなかった国では、新たなデータ・エコノミーへの加入を求めて新法を制定するなどして、規制の範囲 (幅) を拡大しています。
日本においては、3年ごとに個人情報保護法の見直しが検討されることになっており、2022年の全面施行に向けた検討が進む中、2021年8月2日に個人情報保護委員会から改正個人情報保護法の詳細を定める法令・規則、さらにはガイドラインが公表されています (*)。
アナリストでバイス プレジデントでもある礒田 優一氏は次のように述べています。
「世界中でデータ活用における取り組みが進んでいますが、その成否を分ける重要なポイントは、セキュリティとプライバシーの本質を理解することです。プライバシーは人間である以上、必要不可欠であり、基本的な人権です。プライバシーを軽視するということは、人権を軽視するということであり、企業は対応を誤れば信頼を大きく失います。企業は、法規制の動向を理解するのみではなく、そうした本質に立ち返り、People Centric (人中心) の視点から、より誠実で透明性のある取り組みを推進する必要があります」
備えるべきこととは
Gartnerは2020年6月に、本件に関して企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ (体制の構築やセキュリティ・ポリシー) について発表してきました。
今回、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ/リスク・マネジメントのリーダーが取り組むべきポイントを解説します。 (図1参照)
「改正個人情報保護法」の全面施行に向けて、まずはプライバシー、セキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能とする体制を整え、内外のポリシーをPeople Centric (人中心) な視点からアップデートし、アウェアネス・トレーニングを実施する必要があります。
その上で、プロセス上の対応を見直すことになります (「改正個人情報保護法」では個人情報保護法上のデータの定義や取り扱いについて、「保有個人データ」「個人関連情報」「仮名加工情報」「越境データ」などで変更/追加があります)。
ここでの見直しには、データ主体の権利のリクエスト (SRR) 対応、プライバシー・インパクト・アセスメント (PIA)、漏洩時の対応などについても含まれます。さらに、システム/技術的な対応についても検討する必要があります。
例えば「個人関連情報」「仮名加工情報」が今回の改正で新たに定義されていますが、それらへの対応や、SRR対応、漏洩時の対応の取り組みを強化する中で、技術/システム的な対応が課題になる可能性があります。前出の礒田氏は次のようにも述べています。
「プライバシーの議論は今後10年では収束せず、発展途上の状態が続くでしょう。既存のテクノロジに加えて、プライバシーを強化する新しいテクノロジ (プライバシー強化コンピュテーション) なども出現しています。企業は、そうしたテクノロジのトレンドにも目を向けつつ、People Centric (人中心) な取り組みを強化し、成熟度を高め、規制コンプライアンスの先を行く必要があります。『法令遵守の形式的対応』から『人間重視のプライバシーの議論』へと軸足を移すことで、『当社はコンプライアンスに反していないか』ではなく『当社は正しいことを行っているか』が議論されるようになります」
(*) 個人情報保護委員会:「個人情報の保護に関する法律についてのガイドライン (通則編)」
https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf
(**) Gartnerのリサーチは法的問題に関する記述を含む場合がありますが、Gartnerは法的アドバイスやサービスを提供するものではありません。実務上の対応については、個人情報保護委員会から公表される情報を踏まえ、また法律の専門家からのアドバイスも受けて、各企業で判断する必要があります。
さらなる詳細の情報は、リサーチノート「クイック・アンサー:『改正個人情報保護法』2022年の全面施行に向けて今から備えるべきこと」にて知ることができます。
Gartnerは来る10月6~8日に、ガートナー セキュリティ&リスク・マネジメント サミット 2021をバーチャル (オンライン) で開催します。
本サミットでは、デジタル・イノベーション時代のセキュリティに照準を合わせ、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。プライバシーやセキュリティなどのデジタル・リスク管理については、前出の礒田をはじめとした国内外のエキスパートによる講演を予定しています。
Gartnerについて
Gartner, Inc. (NYSE: IT、S&P 500) は、世界有数のリサーチ&アドバイザリ企業である。ビジネス・リーダーが今日のミッション・クリティカルなビジネス課題の解決を実現し、将来にわたって成功する組織を築くために欠かせない知見、アドバイス、ツールを提供している。
Gartnerのリサーチは、エキスパート主導かつ、実務担当者からの情報に基づき、データを重視したもので、この比類なきサービスにより、お客様が重要な課題に対して正しい判断を下せるよう導く。業界や企業規模を問わず、ほとんどすべての職務領域にわたり、Gartnerは信頼されるアドバイザーならびに客観性を備えたリソースとして、国内のみならず世界100カ国以上、1万4,000社を超える企業に支持されている。
本レポートは、ガートナージャパン様の”Article”の内容を元に作成しております。
ソース:https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20210915