グローバルで進む、個人情報保護法の厳格化 企業が行うべき3つの施策：DX時代のプライバシー（2/3 ページ）

2018年に施行した欧州一般データ保護規則（GDPR）を機に、各国の個人情報保護法は厳格化の傾向をたどっている。そうした中、企業はどのような施策を講じればよいか。実際にプライバシー保護のグローバリゼーションに取り組んでいる企業の事例をもとに説明する。

[宮内美里，ITmedia]

　一般にプライバシー保護施策は、データマッピング、規定類の策定、グループ管理体制の構築、越境移転への対応、データ主体（ユーザー）の権利への対応、委託先への対応、データ保護影響評価、従業員教育が挙げられる。その中でも、特に肝となる論点は「グローバル管理体制の構築」「ミニマムのプライバシー保護レベルの設定」「データマッピングとデータ主体の権利への対応」の3点である。

（1）各グループ会社が連携するグローバル管理体制の構築

　各国の個人情報保護法の動向やプライバシーモデルを把握し、プライバシー保護をグローバライズするためには、まずは各グループ会社が連携を行う管理体制の構築が必要となる。各国の法令下でデータ保護オフィサー（DPO）の設置が求められているか否かにかかわらず、企業のビジネス戦略やプライバシー保護へ関与する責任者（チーフプライバシーオフィサー：CPO）やそれを支援するプライバシーチームの設置が必要になる。

　既に取り組みを実施している企業は、ビジネスを展開する地域統括拠点へCPOを設置し、各CPOが担当する地域内のグループ会社のプライバシーチームと連携しながら、プライバシー保護にかかわるアドバイスの提供や監視を行っている。またプライバシーチームは、CPOからのアドバイス等をもとに、プライバシー保護の施策を導入・運用している。

　さらに、全従業員が、CPOやプライバシーチームが策定したプライバシー保護にかかわるルール、体制、運用手順等の情報へ簡単にアクセスできるように、これらの情報を集約した共有サイトを構築することが推奨される。また、国内外の制裁金事例や訴訟事例がニュース記事となっている場合は、これらを従業員へ共有することでプライバシー保護の重要性がより伝わり、意識が高まるだろう。

図2：グローバル管理体制の構築

（2）ミニマムのプライバシー保護レベルの設定

　上記で述べたように、各国の個人情報保護法は異なっている。一般に欧州、北米、東アジアはプライバシー保護レベルが高く、その他の地域は、いまだ途上段階にあるといわれている。

　欧州のGDPRは、プライバシー保護の「グローバルスタンダード」といわれてはいるものの、当該法令の要件をそのまま全グループへ適用することは、地域特性の違いから難しいだろう。一方、多額の制裁金を科されるリスクも避けなければいけない。

　そのため、グローバルにビジネスを展開する企業は、これらを考慮した上で、ミニマムのプライバシー保護レベルを設定する必要がある。既に取り組みを実施している企業は、自社の地域統括拠点がある国の法令と要件の差分を把握し、個人情報や機微情報の定義、さらに独自のグローバルプライバシー保護レベルを設定し、グループ会社へプライバシー保護施策を導入・運用している。また、ミニマムのプライバシー保護レベルに加え、リージョン・カントリースタンダードとして、各地域・国のプライバシーモデルに応じた重点施策を導入することで、よりプライバシー保護レベルを強化できるだろう。

図3：ミニマムのプライバシー保護レベルの設定