グローバルで進む、個人情報保護法の厳格化 企業が行うべき3つの施策：DX時代のプライバシー（3/3 ページ）

2018年に施行した欧州一般データ保護規則（GDPR）を機に、各国の個人情報保護法は厳格化の傾向をたどっている。そうした中、企業はどのような施策を講じればよいか。実際にプライバシー保護のグローバリゼーションに取り組んでいる企業の事例をもとに説明する。

[宮内美里，ITmedia]

（3）グループ内外におけるデータマッピングに基づいたデータ主体の権利への対応

　法令の厳格化、データ主体の権利強化に伴い、各国ではユーザーの個人情報にかかわる問い合わせが急増している。実際にユーザーからの問い合わせに適切に対応できず、監督機関から制裁を科され、レピュテーションが低下した企業も出てきている。

　これらのリスクを最小限に抑えるために、企業はユーザーから問い合わせを受けた際に、なるべく早く、また正確に応じなければいけない。そのためには、グループ内外におけるデータマッピングを行い、自社がユーザーから取得している個人情報の種類、利用目的、適法性の根拠、同意の取得状況、第三者提供の状況や海外への越境移転などを整理しておく必要がある。既に取り組みを実施している企業は、ミニマムのプライバシー保護レベルをもとに、グループ共通のデータマッピング項目を策定し、CPOや各グループ会社のプライバシーチームを通じて、個人情報の取り扱い状況を洗い出している。

3.フレキシブルなプライバシー対応とビジネスへの貢献

　昨今、プライバシー保護を取り巻く環境は劇的に変化してきている。PwCの調査によると、プライバシーインシデント管理とデータ主体の権利への対応はプライバシーモデルによって要件の乖離（かいり）が大きく、効果的な運用を実現するためには高度なローカライゼーションが必要である。そのため、企業はミニマムのプライバシー保護レベルを設定するなどして、プライバシー保護をグローバライズすると同時にインシデント管理やデータ主体の権利への対応などについては、各地域・国別の対応を導入する必要が出てきている。

　しかし、法規制やプライバシーモデルをリアルタイムで把握し、自社の運用へ落とすことは容易ではない。そのため、既に取組みを開始している企業は、自社のリソースのみで対応するだけではなく、外部の弁護士・コンサルタントの活用、さらにはプライバシー技術の検討・導入を開始し、フレキシブルなプライバシー対応を実現している。

　企業がプライバシー対応におけるフレキシビリティを身に着け、消費者へ自身のデータを活用することに対する安心感を与えることができれば、消費者によるデータ提供や企業のデータ利活用が進み、最終的には企業イメージの向上やビジネスへの貢献につながることも考えられるだろう。

著者紹介：宮内美里（PwCコンサルティング合同会社 マネージャー）

2016年より、サイバーセキュリティ・プライバシーコンサルタントとして従事。プライバシー領域では、国内・海外の行政機関、製造業、流通業、医療機器業等のクライアントに対して、アセスメント、グローバルプライバシー態勢の構築、Privacy Techの導入検討、プライバシーセンター設立等、プロジェクトマネージャーとして幅広く支援。