「データ保護規制の最前線」第11回目。
世界で拡がるプライバシー規制強化の動きから、万全な情報管理が求められています。個人情報保護における適正な対策水準を本社主導で決定する際の主眼について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

個人情報保護対策とグループ共通ルールの策定

ビジネスのグローバル化で自社グループの外国人社員の個人情報を取り扱う機会が飛躍的に増え、自国だけでなく海外の個人情報保護規制の順守が求められるようになった。世界的な規制強化で制裁金が高額化しており、小規模な子会社による法令違反でもグループ全体の活動に影響を及ぼす可能性がある。

しかし、子会社において自国以外の海外規制にまで対応する余裕がない場合が多い。こうした背景から個人情報保護の取組みをグループ各社任せにせず、本社主導でグローバル共通のルール策定に乗り出す事例が徐々に増えてきた。効果的な共通ルールの策定に向け、対策水準の決定方法に加え、現場への運用定着が肝要となる。

まず、共通ルールの策定で悩ましいのは、どの水準で対策を設定するかであろう。たとえば欧州の一般データ保護規則(GDPR)並みに厳しいルールを一律で課す場合、グループの保護水準は上がると考えられるが、実際は各社の負担が増大してルールに従わなくなり、形骸化を招く恐れもある。

従って、効果的な個人情報保護対応と各社負担とのバランスを見極めて適切な対策水準を共通ルールとしながら、各社独自で実施する対策を定める余地を残す設計をするのが現実的である。ここで重要なのは、適用を受ける個人情報保護規制の要求事項だけでなく、各社における個人情報の取扱い状況も把握しておくことである。
これらの情報を突き合わせることにより、グループとしてどこにリスクがあるかを見極め、同意取得や委託先管理などの要求事項ごとにリスクを勘案して対策水準を検討できる。リスクに基づき決定した対策水準の決定理由も説明することで、グループ各社からも納得を得られやすいだろう。

共通ルールの設計では、保護方針や規程類など上流部分だけでなく、業務手順や各種様式・ひな型、教育資料なども本社主導で検討することを推奨する。どれだけ完璧な規程類を作ったとしても実務で個人情報を取り扱うのは、規制の専門知識を有するとは限らない一般の従業員である。規程の内容を正しく解釈し、業務と結び付けて対応をするのは難しいからだ。
個人情報の保護を通常業務に落とし込み、従業員が何も意識せずとも対応できるような仕組みを備えないことには、規制順守を確実に定着させることは難しい。たとえば従業員が個人情報を取得する前に、実施予定の取扱いに関してチェックシートに記入するとリスクを簡易判定できるような手順を揃えるなど、個人情報保護に関する専任担当者がいない子会社でも、一定の水準にリスクを低減できる。このように適切な水準を共通ルールとして設定し、それを業務に組み込むことにより、限られた人員で効率的にグループ全体の個人情報保護水準を高めることが可能となる。

執筆者

KPMGコンサルティング
マネジャー  杉山 伶

日刊工業新聞 2021年12月17日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

データ保護規制の最前線

お問合せ