2020年6月、「個人情報の保護に関する法律等の一部を改正する法律」(個人情報保護法)の改正が公布された。公布から2年以内に施行される改正法のポイントは、プライバシーの観点での規定が充実するところにある。

 これまで日本企業は、危険や脅威から個人情報を防御する「セキュリティ」への対策を進化させてきた。その一方で、他人に知られたくない私事など個人情報の扱いに着目した「プライバシー」については十分に議論してこなかった。

 テクノロジーの進展によって個人情報を集めやすくなり、集めたデータの活用法が広がってきた。法改正を、企業として個人情報をどう扱うべきかを立ち止まって考える契機とすべきだろう(※ガートナーの立場はページ末の筆者注に記載した)。

国内の常識や現行法だけでなく、世界標準を意識せよ

 まず、個人情報保護の法整備に関わる世界の潮流を押さえておく。2018年5月にEU(欧州連合)は、個人データの管理者の義務を大幅に強化した「GDPR(General Data Protection Regulation:一般データ保護規則)」を発効させた。これを契機に、世界各国・地域で個人情報保護の動きが加速している。

 米国では2020年1月に、CCPA(カリフォルニア州消費者プライバシー法)が施行された。州法ではあるが、米国でビジネスを展開している企業・組織に期待する、個人情報保護の在り方を定義しており、影響は米国全土に広がる。中国でも、2017年に成立した中国サイバーセキュリティ法で、GDPRと同様の越境データ規制を盛り込んでいる。

 日本では、2005年に最初の個人情報保護法が施行され(成立は2003年)、2017年と2020年に改正された。2020年の改正では、個人の権利や事業者の責務、事業者による自主的な取り組みを促す仕組み、データ利活用に関する施策、ペナルティー、法の域外適用・越境移転などに関し、GDPRに近い内容を取り入れた(その詳細は「個人情報の保護に関する法律等の一部を改正する法律(概要)」、2020年6月12日、個人情報保護委員会、https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdfを参照)。

 国によって多少の差異はあるが、いまやGDPRが個人情報保護の世界標準になっていることは間違いない。今後は日本企業も、世界のトレンドに本格的に飲み込まれていく。個人情報に関して、国内の法律や常識だけで判断することは避け、世界に目を向ける必要があるだろう。

図1●世界の個人情報保護にまつわる法規制の歴史
図1●世界の個人情報保護にまつわる法規制の歴史
日本では個人情報保護法を3年ごとに見直すこととしている
[画像のクリックで拡大表示]

筆者注:ガートナーのリサーチは法的問題に関する記述を含む場合があるが、ガートナーは法的アドバイスやサービスを提供するものではないため、ガートナーのリサーチあるいはガイダンスを、アドバイスやサービスとして解釈または使用することはできない。各企業は、法的問題に関しては法律の専門家からアドバイスを受け、自ら判断する必要があることに留意されたい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。