個人情報保護規制対応に求められるガバナンスの視点 | KPMG | JP
close
Share with your friends

個人情報保護規制対応に求められるガバナンスの視点

個人情報保護規制対応に求められるガバナンスの視点

個人情報のグローバル対応 第12回 - 世界的な個人データ保護規制の強化の動きに伴い、個人データ取り扱いにおける実務負担は増加している。また、海外子会社1社における規制への対応不備が、時には企業グループ全体の信頼に傷をつけ、重大な損害を招く場合もある。このような状況を踏まえ、規制対応には、グローバルなガバナンスの視点で臨むことが望ましい。

関連するコンテンツ

個人データ取り扱いにおける実務負担の増加

日本の改正個人情報保護法やEUの一般データ保護規則(GDPR)に代表される各国や地域の個人データ保護規制の強化に伴い、個人データ取り扱いにおける実務負担は着実に増している。例えば収集時の本人への利用目的の通知や同意取得、第三者と個人データを授受した場合の確認・記録義務、個人データを利用および削除・廃棄した際の運用記録の整備、紙書類や電子媒体、電子機器、システム及びデータへの安全管理措置──などだ。

海外現地任せは重大リスクにつながる

日本の改正法では個人情報取扱事業者を判定する際の個人データ取り扱いの件数要件(5千件以上)が撤廃されることとなった。国際的な規制動向と同様で、企業規模や物理的な立地を問わず規制が適用される方向性だ。この傾向が示唆するのは、企業グループにおいて各拠点に任せっきりの個人データ保護に関する規制対応は重大なリスクとなりうることだ。本社の知らないところで海外子会社が規制に違反し、莫大な課徴金や訴訟の対象となった場合、本社が企業グループ全体を適切に管理していたのかを問われる。さらに長年かけて築き上げた顧客からの信頼も一瞬で崩れる事態にもなりうる。

グローバルな規制対応に適したガバナンスの在り方とは

日本企業ではこうした個人データ保護に関する規制について、各国・地域間の法令や商習慣の差異を理由に、現地の法人や支店を主体として個別に対応する方針を採用することが多かった。だが、各規制間における要件整理は十分に可能である。個々の規制が変更する都度、各国や地域の拠点主体でその部分だけ追加修正を検討することは、全社としてルールの整合性を失わせる。長期的な時間軸で考えれば、管理の例外を増やして本社によるモニタリングを困難にするなど、多大な非効率を生み出していたのではないだろうか。
ここで必要となるのは、規制対応としてのガバナンスの視点である。どこまでのルールを本社が決めて、どこまでの権限を海外拠点に移譲するのか。また、定めたルールが順守されていることをどのようにモニタリングしていくのか。企業グループ全体で制度設計を見直し、グローバルな規制対応を盤石にすることが望まれる。

ガバナンスを重視した改善案

執筆者

KPMGコンサルティング
マネジャー 勝村 学

日経産業新聞 2016年11月17日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

個人情報のグローバル対応

お問合せ

 

RFP(提案書依頼)

 

送信