個人情報保護規制対応プロジェクトの進め方

1. 法令対応の流れ：企業実務として求められる対応は何か
2. 新たに課せられる義務：事業者が講じるべき措置は何か

個人情報の取り扱いに関する規制動向や法令要件に続いて、企業実務として求められる対応についても見ていきたい。

基本的な対応の流れは他の法令対応と同じく、まずは自社の現状を正しく認識した上で、新たな法令要件とのギャップを分析し、ギャップを埋めるための必要な対策を計画・実装していくといった流れとなる。業務プロセスの見直しに伴い、規定や手順書等の改訂、従業員に対する教育・周知、場合によってはIT（情報技術）システムの変更なども同時並行で必要となってくるため、プロジェクトを管理しながら進めていくことが重要だ。グローバル企業の個人データの国際移転では、移転元だけでなく移転先各国における法令要件へのコンプライアンスも確認しながら全体最適を探る必要があるため、外部専門家を活用することも検討するとよい。

多くの企業では、個人情報の保護に関する所管部署や責任者を既に定めており、社内での個人データの取り扱いをある程度管理できているだろう。だが、日本の改正個人情報保護法では、匿名加工情報や要配慮個人情報の取り扱いについても新たな義務が規定されている。それらの取り扱い状況を把握するためにも、改めて自社内の関連データについて棚卸し調査を実施するといい。

EUの一般データ保護規則（GDPR）では、大量のセンシティブ情報を取り扱う企業などで、データ保護責任者の任命が義務付けられている。EU域内に子会社を持つ企業の場合は注意が必要だ。また、国内法のガイドラインにおいても、データ保護のための組織体制の整備は求められている。

組織体制整備の例としては、責任者の設置とその責任の明確化や個人データを取り扱う従業者及びその役割の明確化、漏洩などの事故発生時の報告連絡体制の整備などが挙げられる。さらに、個人データの取り扱いに関する基本方針や、具体的なルールを規定として明文化しておくことも、事業者が講じるべき措置として求められている。

KPMGコンサルティング
ディレクター　大洞 健治郎

日経産業新聞　2016年11月16日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。