一般にプライバシー保護施策は、データマッピング、規定類の策定、グループ管理体制の構築、越境移転への対応、データ主体(ユーザー)の権利への対応、委託先への対応、データ保護影響評価、従業員教育が挙げられる。その中でも、特に肝となる論点は「グローバル管理体制の構築」「ミニマムのプライバシー保護レベルの設定」「データマッピングとデータ主体の権利への対応」の3点である。
各国の個人情報保護法の動向やプライバシーモデルを把握し、プライバシー保護をグローバライズするためには、まずは各グループ会社が連携を行う管理体制の構築が必要となる。各国の法令下でデータ保護オフィサー(DPO)の設置が求められているか否かにかかわらず、企業のビジネス戦略やプライバシー保護へ関与する責任者(チーフプライバシーオフィサー:CPO)やそれを支援するプライバシーチームの設置が必要になる。
既に取り組みを実施している企業は、ビジネスを展開する地域統括拠点へCPOを設置し、各CPOが担当する地域内のグループ会社のプライバシーチームと連携しながら、プライバシー保護にかかわるアドバイスの提供や監視を行っている。またプライバシーチームは、CPOからのアドバイス等をもとに、プライバシー保護の施策を導入・運用している。
さらに、全従業員が、CPOやプライバシーチームが策定したプライバシー保護にかかわるルール、体制、運用手順等の情報へ簡単にアクセスできるように、これらの情報を集約した共有サイトを構築することが推奨される。また、国内外の制裁金事例や訴訟事例がニュース記事となっている場合は、これらを従業員へ共有することでプライバシー保護の重要性がより伝わり、意識が高まるだろう。
上記で述べたように、各国の個人情報保護法は異なっている。一般に欧州、北米、東アジアはプライバシー保護レベルが高く、その他の地域は、いまだ途上段階にあるといわれている。
欧州のGDPRは、プライバシー保護の「グローバルスタンダード」といわれてはいるものの、当該法令の要件をそのまま全グループへ適用することは、地域特性の違いから難しいだろう。一方、多額の制裁金を科されるリスクも避けなければいけない。
そのため、グローバルにビジネスを展開する企業は、これらを考慮した上で、ミニマムのプライバシー保護レベルを設定する必要がある。既に取り組みを実施している企業は、自社の地域統括拠点がある国の法令と要件の差分を把握し、個人情報や機微情報の定義、さらに独自のグローバルプライバシー保護レベルを設定し、グループ会社へプライバシー保護施策を導入・運用している。また、ミニマムのプライバシー保護レベルに加え、リージョン・カントリースタンダードとして、各地域・国のプライバシーモデルに応じた重点施策を導入することで、よりプライバシー保護レベルを強化できるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング