個人情報保護規制の将来的な変化にも対応し続けていくために
個人情報のグローバル対応 第14回 - 個人データに関する規制が国内外で見直され、企業にはその対応が求められているが、個人データはリスクを生むと同時に重要なビジネスインフラという側面を持つ。したがって規制対応をリスク低減としてのみ捉えるのではなく、事業やプロセスを見直す好機とされることをお勧めする。
個人データの規制が国内外で見直され、企業にはその対応が求められているが、規制対応をリスク低減としてのみ捉えるのではなく、事業やプロセスを見直す好機とされることをお勧めする。
企業活動における個人データ
企業活動で個人データの利用はリスクである一方で、ビジネスインフラとしての側面も持つ。他の機密情報に比べてはるかに多くの関係者がアクセスする必要があり、むやみに制限すると業務遂行に著しく影響を及ぼすケースも少なくない。個人データは上手に活用すればユーザー個人にとっても有益であり、企業ブランドやサービス品質を高めることもできる。
規制対応を好機と捉え、企業が取り組むべきこと・検討すべきこと
現状追認型で規制対応を進めることは避けたい。リスク管理の観点から、これを機に個人データの取り扱いを全面的に廃止したほうがよい業務もあるだろう。反対に収益改善の観点から、規制対応だけにとどまらず、利活用をより促進できるよう業務プロセス全体を高度化していく方がよい業務もあるだろう。企業としての判断基準を明確にしておくことが必要だ。
そのためにも、まず取り組むべきは、自社が扱う個人データの所在と取り扱い状況の「見える化」である。前回までの解説でも触れたように、欧州連合(EU)の「一般データ保護規則(GDPR)」は、日本よりも個人データの捉え方が広い。日本の改正法においても個人情報の定義が一部見直され、要配慮個人情報や匿名加工情報のような新しい概念も提示されている。
規制対応においては新たに構築する枠組みを持続的に維持するための仕掛けにも配意する必要がある。規制は社会背景を受けて変化していくものであり、企業も急変する現代社会で生き残るために、日々その様態を目まぐるしく変化させている。常に最新の「見える化」された状態を維持していくためには相応のエネルギーとIT(情報技術)のサポートが必要であろう。グローバルに分散した各拠点の法令の最新動向、その批准状況、各拠点で保持している個人データの状態等を見える化し、一元的に管理するための支援ツールの導入も併せて検討したい。
EUのGDPRの施行予定は18年5月だ。残されている時間はそれほど多くはない。急ぎ対応に着手することが望まれる。
個人情報への対応例
執筆者
KPMGコンサルティング
パートナー 田口 篤
日経産業新聞 2016年11月21日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。