大きく変わる世界の個人情報保護法令 | KPMG | JP

大きく変わる世界の個人情報保護法令

大きく変わる世界の個人情報保護法令

本稿では、世界の個人情報保護法令の改正動向を俯瞰しながら、「どのような対応がグローバル企業に求められているのか」を中心に解説します。

関連するコンテンツ

個人データの活用は、今後のビジネスにおける重要な成功要因の1つとなっています。一方で、世界各国の個人情報保護規制は相次いで厳格化されており、企業に求められる役割と責任はますます大きなものとなってきています。

本稿では、このような世界の個人情報保護法令の改正動向を俯瞰しながら、「どのような対応がグローバル企業に求められているのか」を中心に解説します。

なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

ポイント

  • 法令の「域外適用」の広がりにより、自国の法令を遵守するだけでは不十分となっている。
  • 個人データの国外持ち出しはほとんどの国で制限されており、本人の明示的な同意を取得するか法令で求める保護措置を講じなければならなくなっている。
  • 漏洩などの事故発生時の対応が厳格化されており、限られたタイムフレーム内で迅速に実態把握、本人説明、当局報告を行うことのできる態勢整備が必要である。
  • 個人データの取扱いが複雑化・高度化するなかで、企業は自らプライバシーリスク評価を行い、必要なリスク低減策を講じることが求められている。

I.世界中で一斉に改正の進む個人情報保護法令

今、世界中で一斉に個人情報保護法令の改正が進んでいます。

日本では、2017年5月に改正個人情報保護法が全面施行され、現在、これに関連してJIS Q15001(個人情報保護マネジメントシステム規格)の改正作業も進んでいます。また、中国では、2017年6月にサイバーセキュリティ法が施行され、特定事業者における個人データの取扱いに対して、新たな規制がかけられるようになりました。

また、欧州連合(EU)においては、2018年5月にEU一般データ保護規則(GDPR)の施行が予定されており、高額な罰則金設定で世界の注目を集めています。米国においては、現時点で連邦法としての包括的な個人情報保護法令はなく、主に各州法や特定業種規制のなかで個人情報の取扱いにかかわる規律を定めていますが、現在、2012年に公表された消費者プライバシー権利章典を法制化する動きが出ています。

図表1のとおり、その他の国においても、同様にこの数年で数多くの改正が行われており、今や世界は個人情報保護法令の改正ラッシュのなかにあると言ってもよいでしょう。

図表1 世界各国における最近の個人情報保護法令の改正例

国名 法令名称・通称 施行年月 主な罰則設定例
(対事業者)
インドネシア Regulation on Personal Data Protection in Electronic Systems 2016年
12月
50億ルピー以下の罰金または10年以下の懲役等
オーストラリア Australia Privacy Act
(2017年改正:Notifiable Data Breaches)
2017年
2月
ペナルティユニット方式。違反ごとに約500~2,000ユニットを加算。現在A$180/ユニットだが段階的に引き上げ予定
日本 個人情報保護法(2017年改正) 2017年
5月
1年以下の懲役または50万円以下の罰金等
中国 中華人民共和国网絡安全法 2017年
6月
100万人民元以下の罰金および15日以下の拘置。違法所得のある場合はその10倍以下の罰金等
EU(EEA) 一般データ
保護規則(GDPR)
2018年
5月
(予定)
世界売上高の4%もしくは2,000万ユーロのいずれか高いほうを上限とした罰金等
米国 「2012年消費者プライバシー権利章典」を法制化する動きあり。なお、現在は州法やセクター法による規制のみ。

出典:各国法令の状況を筆者が要約して作成

II.なぜ今、一斉に法改正が行われているのか?

それでは、なぜ、今このタイミングで、世界中が個人情報保護法令の改正に動いているのでしょうか?

こうした法令改正が求められる背景として、ビジネスにおける急激なインターネット化・グローバル化、サービスのパーソナライズ化などを挙げることができます。従来の個人情報は、企業のメインサーバにデータベースとして格納されたものが中心で、その取扱いは主に印刷した紙やデータを抽出・保存した電子媒体を使って行うものと想定されていました。

しかし、今では、個人データの取得から流通・利用に至るまで、すべてがオンラインで処理される時代となっており、契約時に取得する氏名や住所だけではなく、IDや会員番号などをキーとして、その後の様々な行動履歴についても蓄積・モニタリング・分析され、パーソナライズドサービスに活用されるようになってきています。そのなかには、GPS(全地球測位システム)による移動情報や、ポイントカードに連動した購買履歴、Cookieを使ったウェブ閲覧履歴など、本人が明確に意識していない状態で個人データが取得されているケースも少なくありません。

さらに、そういったデータは、インターネットを介して簡単に国境を超え、世界各国のサーバに格納され、グローバルな企業連携のもとで処理されるようになってきています。

このような環境変化を踏まえ、各国の法令では、個人データを取扱う企業に対し、より厳格な保護措置を講じることや、説明責任を果たすことができるような管理態勢の整備を新たに求めるようになってきているという状況です。

III.法令が新たに求めている事項の要点

各国の法令がフォーカスしているポイントは一様ではありませんが、以下のような事項が多くの国で共通して要求されています。


1.国際移転の制限

自国内の個人データを国外の第三者へ提供する場合には、その本人の明確な同意を得るか、あるいは移転先での安全な取扱いを保証するための措置が要求されます。

日本においては、2017年5月以降、委託作業で個人データを国外へ持ち出す場合であっても、本人の同意を得ることが原則として必要となりました。本人同意を得ずに国際移転するためには、提供先において必要な管理措置が継続的に講じられるよう契約等で担保するか、APEC越境プライバシールール(CBPR)システムのような国際的な枠組みに基づく認証を受けることなどが求められています。EUにおいても、個人データの国際移転を原則禁止とする一方で、例外として、本人からの明示的な同意を得る手段のほか、EUが定める標準契約条項を使って当事者間の契約を締結する方法や、企業グループ内で統一的に適用される個人情報保護の規程について、EU当局の承認を受ける方法などを認めています。

現在、ほとんどの国において個人データの国際移転を規制する法令が既に整備されており、グローバルにビジネスを展開している企業は、自社における個人データの流れを把握し、国際移転が生じる場合には必要な保護措置を講じなければならなくなっています。


2.事故時の厳格な対応

個人情報の漏洩など、プライバシー侵害に繋がる事故を引き起こしてしまった場合には、監督当局への報告および権利侵害を受けた個人に対する説明が義務付けられています。昨今の法令改正における特徴的な点としては、これらの対応要件を厳格に定め、一定のタイムフレーム内で遅滞なく対応を行うよう求めていることが挙げられます。

EUのGDPRでは、当局への事故報告を72時間以内に行うよう求めていますし、インドネシアでは、本人への説明を2週間以内に実施するよう求めています。また、オーストラリアにおいては、漏洩の可能性を認識した後1ヵ月以内に被害実態を調査するよう要求しています。日本の場合は、個人情報保護委員会への報告、または認定個人情報保護団体の対象事業者である場合は当該団体への報告と、「影響を受ける可能性のある本人」への連絡等が求められているものの、今のところタイムフレームの設定までは行われていません。

いずれにしても、漏洩等の事案が発覚した場合に、速やかに実態の調査を行い、本人への説明や規制当局等への報告を遅滞なく行うことが厳格に求められるようになってきています。


3.取扱いにかかわる記録の作成・保持

昨今の各国の法改正におけるもう1つの傾向として、事業者の説明責任を強く求めるようになってきている点が挙げられます。説明責任を果たすための一要素として、事業者には、自社における個人データの取扱いについて、記録を作成・保持することが求められています。

日本では、2017年5月の法改正より第三者提供にかかわる記録作成義務が課せられていますし、EUのGDPRにおいても、国際移転や共同管理の状況、同意取得の証跡を含む、取扱い活動の記録全般を作成・管理することが求められています。EUの場合、個人データの取扱いを他社から委託されているだけの場合であっても、同様に記録を作成しなければなりません。こういった記録に基づき、管理者は法令順守状況の定期的な確認を行い、監督機関が要求する場合には、その記録を提出できるようにしておくことが求められています。

自社で保有する個人データについて、どういった流れでそれを取得し、またどの第三者へ提供しているのか、どういったリスク評価を行い、どんな管理策を講じているのか、どのように保管し、誰が管理を行っているのか、いつでも取扱い状況を説明できるように、記録の作成・保持を行っておく必要があります。


4.プライバシーリスク評価とリスク低減策の実施

個人データの取扱い環境が複雑化・高度化するなか、法令上ですべての取扱い形態を想定し必要な対応を明示することは困難なことから、多くの法令では、事業者自らがリスクの評価を行い、必要なリスク低減策の組み込みを行うよう求めています。

欧米では、以前からプライバシーバイデザインという考え方が広く提唱されており、個人データの取扱いを含むサービスや業務プロセスを導入する場合、あらかじめその設計段階で、プライバシーリスクの低減策を組み込むよう求めています。たとえばEUのGDPRにおいては、個人データの取扱いが、そのデータ主体である本人の権利・自由に高いリスクを生じさせる可能性がある場合、その事業者に対して「データ保護影響評価」(図表2参照)の実施を義務付けています(ガイドラインにおいて具体的に実施が必要となるケースが定められています)。また、認識されたリスクに対する軽減策および保護措置を検討した結果、十分なリスク低減が図られないと想定される場合は、取扱いを開始する前に、監督機関と協議を行わなければなりません。

日本でも、公共機関におけるマイナンバーの取扱いに関して「特定個人情報保護評価」を義務付けていますが、現在のところ民間事業者に対する明示的な義務付けまでは行われていません。しかしながら、どの国の法令においても適切な安全管理措置を講じることは明確に要求されており、リスクに見合った対応策を選択する必要性から考えても、プライバシーリスク評価のプロセスを正式に手順化して導入・実施しておくことが望ましいでしょう。

図表2 データ保護影響評価の例(「ISO29134:2017 ITのためのPIAガイダンス」概略)

出典:筆者がISO29134:2017の規格内容を抜粋して作成

5.データ活用時の匿名化や仮名化

プライバシーの保護がますます求められる一方で、個人データの活用は社会の発展や企業の競争力にも密接に関連しているものであり、各国の法令においても、個人データの保護と活用のバランスを図るべく、活用時の安全管理策として匿名化や仮名化を明示的に求めるようになってきました。

日本においては、2017年5月の法改正以降、法令で定める加工基準を満たしたものを「匿名加工情報」として定義し、これに該当する場合には、一定の規律のもとで自由に流通・利用できるものとしています。ただし、匿名加工情報を作成した場合にはその公表が必要で、加工方法等の情報に対する安全管理措置が求められ、個人の特定を目的として他の情報と照合を行うような識別行為は禁止されています。一方、EUのGDPRなどでは、個人の特定性を完全に排除した匿名加工情報は、そもそも規制の対象外であるとし、復元可能性の残る仮名化の状態(たとえば、名前などを番号や記号等に置き換えただけのデータ)であれば、一部の要件を除き個人データとしての取扱いを求める2段階での定義としています。

個人データの自由な流通・利活用のためには、復元性を排除した匿名加工の実施が必要となっており、それができない場合であっても、安全管理措置としての仮名化が推奨されています。


6.域外適用への対応

これまで、事業者は自国あるいは事業拠点のある国や地域の法令のみに注意を払っていれば問題ありませんでした。しかし、最近は「域外適用」を宣言する法令が増えてきています。域外適用とは、その域内・国内に拠点のない企業であっても、個人データの取扱いがその域内の個人に影響を及ぼすような場合に、その企業へ規制を課すことができる、といった考え方です。

日本の改正法においても、「日本国内で個人情報を取得し、海外でその取扱いを行う事業者」に対しても、法令を適用すると宣言しています。また、EUのGDPRでも、「商品やサービスの提供にともなってEU在住者の個人データを本人から直接取得している場合や、EU在住者の行動データをモニタリングしているような場合、たとえその企業がEU域内に拠点を持っていなくても、同規則の直接適用を受ける」と明示しています。

自社の所在する国の法令だけでなく、取扱う個人データの内容によっても、適用を受ける法令が変わってくることになります。そのため、各事業者は、自社で取扱う個人データの内容を正しく把握し、どの国の法令の制約を受けるのか、あらかじめ調査・整理しておく必要が生じています。この「域外適用」によって、個人情報保護の法令コンプライアンス対応が、これまで以上に一層複雑になってきています。

図表3 EU一般データ保護規則(GDPR)の主な要求事項

事業者に対する主な要求事項 関連条項
データ主体からの同意の取得およびその立証責任 第5~11条
データ主体への情報提供とデータ主体によるアクセスの保証 第12~15条
データ主体の権利に基づく各種要求(開示、訂正、削除等)への対応 第16~22条
データ保護のための組織的・技術的対策の実施または組込み 第24~25、32条
共同管理者間での責任分担にかかわる協定文書作成 第26条
委託による取扱い時の組織的・技術的対策の実施 第28~29条
取扱い活動の記録の作成・保持 第30条
事故時における当局通知、データ主体への説明 第33~34条
データ保護影響評価の実施および当局との協議 第35~36条
データ保護オフィサーの任命 第37~39条
データの国際移転に関する保護措置 第44~49条

出典:GDPRの要求事項のうち主要なものを筆者が取りまとめて作成

IV.対応を要する具体的事項

図表3で挙げたような法令要件を満たすためには、社内における管理ルールの改定や、関連するビジネスプロセスの見直し、実際に管理を行うための組織体制の見直しなどが必要となります。対応には相応のコストがかかりますので、単純に法令要件を満たす管理策を導入するだけではなく、たとえば「そもそも個人データの国際移転を行わないような業務プロセスへの見直しができないか」といった戦略的な検討も必要になってくるでしょう。

どの国の法令の適用を受け得るかによっても異なりますが、ここでは一般的に必要となる主な対応事項を例示します。

  • 自社における個人データの国際移転状況の確認と合法化のための措置
  • 漏洩事故時等のレスポンス態勢の見直し(法令要件への対応十分性の確認)
  • プライバシーリスク評価手順の導入・運用
  • 本人同意取得や取扱いにかかわる記録作成・保存プロセスの整備
  • 委託先を含む個人データ管理態勢(管理者の役割と責任等)および社内ルールの見直し
  • 匿名化や仮名化を含む安全管理措置およびITセキュリティ等の最適化
  • 自社グループで域外適用を受け得る法令の識別・確認プロセスの整備

V.法令違反時の影響

法令違反時の行政上の罰則金については、各国によって様々です。EUのGDPRの罰則金は、「世界売上高の4%もしくは2,000万ユーロ(約26億円)のいずれか高いほうを上限」と非常に高額に設定されており、世界の注目を集めています。中国のサイバーセキュリティ法の場合は、違法所得があった場合にその10倍までの罰則金を科すことができるよう設定されていたり、オーストラリアでは違反項目ごとにペナルティユニットが定められ、違反が重複するとそれらを加算できる仕組みとなっていたりするなど、各国によって様々な特徴があります。日本の場合は、罰則金が「50万円以下」と他国に比べると比較的軽い印象ですが、違反時のペナルティは罰則金だけではない点に留意が必要です。

違反時には、業務停止命令やライセンスの剥奪などの行政処分を下される場合があるうえに、企業イメージの毀損、顧客からの信頼喪失などに繋がるといった影響も考えられます。個人情報の漏洩が発生した際は、事後対応のために相応のリソースが必要となったり、本人の権利侵害に繋がるような場合には、訴訟により損害賠償の支払いを要求されることも想定されます。個人データの取扱いにかかわるリスクは、重要な経営リスクの1つとなってきています。

※1ユーロ=130円で換算しています。

VI.まず第一に確認すべきことは?

自社グループの個人データ管理状況を簡易診断したい場合は、まず以下の3点について確認を行ってみるとよいでしょう。

(1)自社グループで保有する国外在住者の個人データを把握できているか?
(2)自社グループで適用を受け得る関連法令の要件が整理されているか?
(3)自社グループ各社の個人データ管理組織体制およびルールを把握できているか?

以上3点が把握できていれば、現状の取扱いと法令要件とのギャップ分析を行い、洗い出された課題に対して対応策を検討していけば、法令コンプライアンスを確保できます。もし上記のいくつかの点で把握できていないものがあれば、まずはそれらを把握することからスタートすることが必要です。

VII.まとめ

ビジネスがグローバル化・インターネット化することに伴って、個人情報の取扱いが複雑化・高度化し、個人のプライバシー保護の必要性が高まっています。その結果、各国の個人情報保護規制は厳格化が進み、企業に求められる責任は今後ますます重くなっていくものと想定されます。

一方で、個人データの活用は企業の今後のビジネスの成否を分ける重要な要素となっており、保護と活用のバランスをうまく取っていくことが必要です。企業は、大きく変わる各国法令の改正状況をしっかりチェックしながら、法令要件を満たすことのできる管理態勢を、タイムリーかつ戦略的に設計・整備していくことが重要です。

執筆者

KPMG コンサルティング株式会社
サイバーセキュリティアドバイザリー
ディレクター 大洞 健治郎

サイバーセキュリティ

サイバーセキュリティ

サイバーセキュリティに関する最新情報や調査結果などの解説、KPMGが提供する支援サービスを紹介しています。

マネジメントコンサルティング

マネジメントコンサルティング

戦略からITまで、様々な企業変革とプロジェクトの実行をサポートします。

お問合せ

 

RFP(提案書依頼)

 

送信