2022年4月、改正個人情報保護法(2020年改正法)が施行された。企業は改正法への対応を図るだけでなく、これを機にPeople Centric(人間重視)な取り組みを進化させるべきだ。個人情報保護を取り巻く最新のテクノロジーやトレンドを解説する。
体制構築やプロセス整備など、企業がすべき5つのこと
日本では、危険や脅威から情報を守る“セキュリティ”の重要性は認識され対策されているものの、基本的人権と言える “プライバシー”への対応は十分でなかった。
関連記事: 迫る改正個人情報保護法の施行、データ活用とプライバシーのバランスを意識せよ今回の改正個人情報保護法は、プライバシーを手厚く守る方向で調整された。Cookieなどを含む「個人関連情報」の扱いや、情報漏えい時の事業者から個人や委員会への報告/通知義務、ユーザーが個人情報利用の開示や停止/消去などを求める権利などだ。
2018年に「GDPR(General Data Protection Regulation:一般データ保護規則)」を発効させたEU(欧州連合)や、米国などに比べて、日本企業の個人情報保護への取り組みは遅れている。今回の法改正を、People Centricの観点で施策を見直す好機と捉え、対応に取り組むべきだろう。
企業がすべきことは5つある。土台になるものから順に(1)体制構築、(2)ポリシーのアップデート、(3)アウェアネス・トレーニングの実施、(4)プロセスの整備・運用、(5)システム/技術的な対応――である(図1)。
法令重視からPeople Centric(人間重視)へ価値観のアップデートを
(1)の体制構築は、個人情報保護の取り組みを誰(どの部署)が主導すべきなのか、どのような組織(規模、人材)を設置すべきかといったことを社内で定義するところから始めるといいだろう。
GDPRは条件によりデータ保護責任者(Data Protection Officer)の設置を義務付けているが、日本にはDPO設置を義務付ける法律はない。主導すべきは法務部なのか、IT部門なのか、セキュリティ担当なのか、といった迷いが生じやすい。
企業は、プライバシー・オフィサー(名称はDPOなど)としての役割を果たす人材をどの部署から選ぶべきか、そして誰がプライバシー・オフィサーを任命すべきなのか、さらにはプライバシー・オフィサーを補佐するスタッフなどを検討する必要がある。その際には、社内の各部署が連携しやすい組織を意識すべきだ。
個人情報保護とは、単なる法律への対応で終わるわけではなく、セキュリティ強化だけで済むわけでもない。IT部門やセキュリティ部門、法務部門、監査部門、マーケティング部門、その他の事業部門を含めて、連携しながら取り組むべきである。
(2)のポリシーのアップデートでは、法律遵守をうたうだけでなく、People Centricを重視する。People Centricとは様々な意味合いがあるが、読み手を考えるという意味では、読みやすい文章に改め、できれば図なども盛り込んで、「伝わる表現」を心掛けたいところだ。
