グローバルで進む、個人情報保護法の厳格化 企業が行うべき3つの施策:DX時代のプライバシー(2/3 ページ)
2018年に施行した欧州一般データ保護規則(GDPR)を機に、各国の個人情報保護法は厳格化の傾向をたどっている。そうした中、企業はどのような施策を講じればよいか。実際にプライバシー保護のグローバリゼーションに取り組んでいる企業の事例をもとに説明する。
一般にプライバシー保護施策は、データマッピング、規定類の策定、グループ管理体制の構築、越境移転への対応、データ主体(ユーザー)の権利への対応、委託先への対応、データ保護影響評価、従業員教育が挙げられる。その中でも、特に肝となる論点は「グローバル管理体制の構築」「ミニマムのプライバシー保護レベルの設定」「データマッピングとデータ主体の権利への対応」の3点である。
(1)各グループ会社が連携するグローバル管理体制の構築
各国の個人情報保護法の動向やプライバシーモデルを把握し、プライバシー保護をグローバライズするためには、まずは各グループ会社が連携を行う管理体制の構築が必要となる。各国の法令下でデータ保護オフィサー(DPO)の設置が求められているか否かにかかわらず、企業のビジネス戦略やプライバシー保護へ関与する責任者(チーフプライバシーオフィサー:CPO)やそれを支援するプライバシーチームの設置が必要になる。
既に取り組みを実施している企業は、ビジネスを展開する地域統括拠点へCPOを設置し、各CPOが担当する地域内のグループ会社のプライバシーチームと連携しながら、プライバシー保護にかかわるアドバイスの提供や監視を行っている。またプライバシーチームは、CPOからのアドバイス等をもとに、プライバシー保護の施策を導入・運用している。
さらに、全従業員が、CPOやプライバシーチームが策定したプライバシー保護にかかわるルール、体制、運用手順等の情報へ簡単にアクセスできるように、これらの情報を集約した共有サイトを構築することが推奨される。また、国内外の制裁金事例や訴訟事例がニュース記事となっている場合は、これらを従業員へ共有することでプライバシー保護の重要性がより伝わり、意識が高まるだろう。
(2)ミニマムのプライバシー保護レベルの設定
上記で述べたように、各国の個人情報保護法は異なっている。一般に欧州、北米、東アジアはプライバシー保護レベルが高く、その他の地域は、いまだ途上段階にあるといわれている。
欧州のGDPRは、プライバシー保護の「グローバルスタンダード」といわれてはいるものの、当該法令の要件をそのまま全グループへ適用することは、地域特性の違いから難しいだろう。一方、多額の制裁金を科されるリスクも避けなければいけない。
そのため、グローバルにビジネスを展開する企業は、これらを考慮した上で、ミニマムのプライバシー保護レベルを設定する必要がある。既に取り組みを実施している企業は、自社の地域統括拠点がある国の法令と要件の差分を把握し、個人情報や機微情報の定義、さらに独自のグローバルプライバシー保護レベルを設定し、グループ会社へプライバシー保護施策を導入・運用している。また、ミニマムのプライバシー保護レベルに加え、リージョン・カントリースタンダードとして、各地域・国のプライバシーモデルに応じた重点施策を導入することで、よりプライバシー保護レベルを強化できるだろう。
関連記事
- DXとは「すっ飛ばす」こと DXが進まない企業に欠けている視点
DXは間違いなく、現在ビジネスにおけるトレンドワードだ。しかし、その本質を理解している人はどれだけいるだろうか。本記事では350以上の企業などで組織・業務改革支援の経験を持つ沢渡あまね氏が、単なる“デジタル化”では成し得ない、“DXの本質”について解説する。 - なぜ、DXが進まないのか? 企業が意識すべき「4つのポイント」
デジタル化もままならない組織が多い中で、日本企業がDXを成し遂げるまでには複数のハードルがある。本記事では350以上の企業などで組織・業務改革支援の経験を持つ、沢渡あまね氏が、DXの進め方について解説。組織の経営者やマネジャーが意識すべき「4つのポイント」を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.