「データ保護規制の最前線」第2回目。改正個人情報保護法に対して企業がどのようなポイントを考慮し、改正法に対応していくべきかを解説します。本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
改正個人情報保護法のポイントと実務対応
令和2年改正個人情報保護法の施行が、2022年4月1日に迫っている。政府の個人情報保護委員会もガイドラインやQ&Aを公表した。
本改正では、個人関連情報を新たに定義した。規制対象が広がるとともに、外国にある第三者への提供時の規律強化、罰則の強化などが盛り込まれている。
企業にとっては、個人情報保護のリスクが増大することになり、特にデータを利活用した事業をする場合、人工知能(AI)やIoT(モノのインターネット)活用時に個人情報保護がますます重要になってくる。
各企業は、増大するリスクを認識し、ガイドラインやQ&Aを参照して、対応を進めている。対応のポイントのうち、特に個人関連情報と外国にある第三者への個人データ提供については注意を要する。
個人関連情報は「生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの」と定義されている。たとえばウェブサイト閲覧履歴や位置情報などが該当する。
従来、日本法の規制対象は諸外国よりも狭いと指摘されてきたが、個人関連情報の新設により諸外国に近づいたと言える。個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される際に、あらかじめ本人の同意が得られていることの確認が求められている。
各企業は、個人関連情報の存否や第三者への提供状況を把握した上で、規制の適用有無を判断する必要がある。なお、諸外国における個人情報の範囲と近似となったため、グローバルで統一的なプロセスによる個人情報の洗い出しが実務では効率的である。
外国にある第三者への提供においても規制が強化され、提供先の国の個人情報保護制度や実施される管理措置などの情報を本人に提供することが必要となった。また、提供先に管理措置を継続的に実施させ、それを確認するためのプロセス構築と維持をしなければならない。提供先の国が増えるに従い、対応する労力は大きなものとなる。
昨今、外国との個人情報の流通は、経済安全保障の観点からも注目されうることに留意すべきである。法令違反があった場合、罰則を受ける可能性に加えて、消費者からの評判低下や政治的なリスクが顕在化する。専門家の支援を受けるなどし、社内での啓蒙活動や各国における個人情報保護制度の把握、対応プロセスの構築が必要だ。
執筆者
KPMGコンサルティング
マネジャー 守屋 有晶
日刊工業新聞 2021年10月15日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。