【野村総研】
2022/02/04
2020年6月に公布された改正個人情報保護法が2022年4月より施行されます。この改正は、個人の権利利益の拡大や仮名加工情報の新設、漏えい時の報告の義務など、個人情報を取り扱う事業者に影響をおよぼす内容を多く含みます。一方、海外でも個人情報利活用の環境整備や制度化の動きが加速しています。
個人情報の取り扱いに関する国内外の動向にどう対応していけばいいのか、セキュリティの専門家であるNRIセキュアテクノロジーズ(NRIセキュア)の藤井秀之と長谷川ちひろに聞きました。
大幅な改正が行われた個人情報保護法
個人情報保護法は、3年ごとの見直し規定に基づき2020年6月に法改正が実施され、2022年4月より施行されます。今回は多くの改正が行われたため、個人情報を取り扱う事業者はこれら法改正への対応が求められます。
主な変更としては、開示請求・利用停止請求などの個人の利益の強化が挙げられます。事業者が本人からデータの利用停止・削除やデータ開示請求を受け得る条件が広がり、開示の方法にデジタル方式が追加されました。事業者は取り扱う個人情報の本人の利益を守るために、プライバシーポリシーの見直しや改定に加え、個人情報の第三者提供や第三者からの受領時には、データの取り扱いをトレースできるよう記録を作成・保存する運用の整備等が必要になりました。
また、個人情報の漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報委員会への報告と本人への通知を行うことが義務化されました。
さらに、海外の事業者等の第三者へ個人データを移転する際には、本人への開示事項、同意事項が増加します。これに加えて、オプトアウトに関する改正も行われています。
法改正によって事業者に求められる2つの責務とは
今回の法改正のうち、事業者の守るべき責務としてとして新たに追加された項目は、「漏えい時の個人情報保護委員会への報告及び本人への通知の義務化」と「個人情報の不適正な利用の禁止」です。
個人情報の漏えい等が発生した場合、委員会への報告と本人への通知義務について、「速報として概ね3~5日、確報として30日以内に」と具体的な報告期日も明記されています。よって、これに対応できる報告体制・プロセスを確認し、必要に応じて見直すことが求められます。
本人通知については、対象者数によっては大きな影響がおよぶ可能性があります。そのため、本人への通知方法や通知内容等も含めて改めて検討し、社内規定やプライバシーポリシー等の記載内容の確認、必要に応じた修正も必要です。
また、「個人情報の不適正な利用」を明確に禁止する趣旨のもと、「違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない」という条文が新設されました。そのため、個人情報取扱事業者は、個人情報の利用に関する棚卸しを行い、社内全体の個人情報の取り扱い業務において「不適正な利用」に該当する事例がないかを確認し見直しを行う必要があります。
海外でも個人情報保護の環境整備や制度化の動きが加速
海外に目を向ければ、各国は国主導でデジタル化を積極的に推進するとともに、データ保護に関連する規制も強化している状況にあります。データ流通・利活用に関する制度は、EU一般データ保護規則(GDPR)の登場前後でグローバルの潮流が大きく変化し、世界各国で相次ぎ法整備が進んでいます。
中国でも2021年8月に個人情報保護法が可決し、11月1日より施行されました。中国の個人情報保護に関するこれまでの規定は、民法典やサイバーセキュリティ法、個人情報安全規範等の各法令・規範に個別に規定されていましたが、取り扱いの整合性や運用面で不十分であると指摘をされており、包括的な個人情報保護法が制定されることになったのです。
このように、個人情報に関連した法改正等が活発化していることを踏まえ、日本企業が海外でサービスを展開する場合も、その国の個人情報保護制度を充分に理解しておく必要があります。
改正個人情報保護法による事業者のメリットとは
法改正により、事業者にはこれまで以上にしっかりとした個人情報の管理が求められるようになります。一方で、事業者のデータ利活用等によるイノベーションを促進する観点から、義務が緩和された項目もあります。例えば、開示請求・利用停止請求等への対応等の義務を緩和した「匿名加工情報」に加え、「仮名加工情報」が改正法で創設されました。内部での利用に限定されるものの、「匿名加工情報」と比較して必要とされる加工基準が緩和されているためマーケティングや新サービスの創発にこれまで以上に容易に活用ができるようになるのです。
なお、事業者の個人情報保護の対応を強化していくためには、本法改正への対応だけではなく、自社が取扱う個人データの管理体制や基準等の見直しやユーザーとのコミュニケーションの在り方を含めたプライバシーガバナンスの見直しも行うことが推奨されます。プライバシーガバナンスの見直しにあたっては例えば経済産業省・総務省の「DX時代における企業のプライバシーガバナンスガイドブック」を参考にするのも1つの方法です。しかし、各社のビジネスモデルや、取り扱う個人データの性質によっても実施すべき事項も異なるため、自社内で適切なアセスメントを行うことが困難な場合もあります。こうした場合は、外部の専門家と連携することが望ましいでしょう。NRIセキュアでは、サービス設計段階からのパーソナルデータ活用におけるリスク管理コンサルティング、プライバシーバイデザインを意識したシステム開発のご支援、顧客ID統合・管理ソリューション「Uni-ID Libra」等のソリューション提供を通じて、法改正への対応とそれを機としたプライバシーガバナンスの強化及び新たなビジネスチャンスの創出を幅広くご支援いたします。
- NRIジャーナルの更新情報はFacebookページでもお知らせしています