厳格化する個人情報保護法、企業はどう対応すべき? 注目の「4つのポイント」

事業者が保有する個人データの取り扱いや漏えい時の取り組みについて、規制を厳格化した改正個人情報保護法が公布された。施行を前に、企業はデータ管理の仕組みをどう見直すべきなのか。

» 2020年07月08日 07時00分 公開
[阿久津良和ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 2020年6月12日、政府は改正個人情報保護法(正式名称: 個人情報の保護に関する法律等の一部を改正する法律案 以下、本稿では「改正法」とする)を公布した。同法は2年以内に施行される予定だ。

 改正法は、個人データの保護にまつわる規制を厳格化し、個人データを扱う事業者にはさらなる透明性を求める。これにより、データの管理体制を変えざるを得ない企業が出てくることは明らかだ。本記事では、改正法が企業のデータ管理にどのような変化を求めるのか、ベンダーによる対応の取り組みと一緒に見ていきたい。

特集:リスクを回避し、ビジネスを成長させよ 「戦略的」データマネジメントとは

データが組織の資産として認知される中、データ活用に取り組む企業を待ち受けるのが「管理」の問題だ。「データが集約できない」「データの所在が分からない」「仕様がバラバラで連携できない」といった課題に加え、消費者を守るために厳格化する法規制への対応やセキュリティへ体制も求められる。「使う」ためのデータを、戦略としていかに「持つ」べきか。テクノロジーの変遷や直近の事例を通して探る。

今知っておきたい、改正個人情報保護法の「主な変化」

 2015年に改正した個人情報保護法は「3年ごとの見直し(附則第12条)」を打ち出した。個人情報保護委員会が集めた関係団体や有識者へのヒアリングなどを経て、今回の法改正に至っている。

 2020年6月に公布された改正法は、事業者が守るべき責務や自主的な取り組みを促すルールを追加した。違反した事業者への罰則は、改正前の「6カ月以下の懲役または30万円以下の罰金」から「1年以下の懲役または100万円以下の罰金」へ厳格化した。虚偽報告が判明した事業者への罰則も、改正前の「30万円以下の罰金」から「50万円以下の罰金」に引き上げた。

改正法の主な変更内容(出典:個人情報保護委員会)

 変化するのは罰則だけではない。個人データに関する権利も変化した。例えば、個人データを事業者が不正に取得するなどの法令違反があった場合に加え、改正法は「個人の権利または正当な利益が害される恐れがある」場合に、消費者が自身の個人データを保有する事業者に対してデータの利用停止や消去を請求する権利を認める。

 事業者が保有する個人データの開示を消費者が求める際の条件も緩和した。現行法では、書面のみの開示だが、改正法はデジタルを含めて請求する本人が開示方法を指示できるようにする。また、6カ月以内に消去される個人データも、新たに情報開示や利用停止の対象に含める。

企業は改正法にどう対応べき? ベンダーが挙げる「4つのポイント」

 罰則の厳格化も含めた複数の変化を考慮すると、企業は顧客データを含む個人情報の扱いに問題がないか、改正法施行までに抜本的に見直しておきたいところだ。とはいえ、どこをどう見直せばいいのか。

Copyright © ITmedia, Inc. All Rights Reserved.