個人情報の取り扱いにおけるプライバシー尊重の傾向について

1. 個人の権利行使への対応
2. 要配慮個人情報の取扱い
3. 本人からの開示請求への対応
4. 企業の取り組み方針検討

個人データ保護に関する国内外の規制では、プライバシー侵害を防ぐために様々な権利を認めている。こうした権利の裏返しとして、個人データを取り扱う事業者には個人の権利行使に対応することが義務として課せられる。近年の規制改定では、特に自身の情報を管理できる権利が全般的に強化されており、その権利が各企業に対し、新たな対応準備を求めているという関係にある。

• データの処理等に関する情報の提供を受ける権利
• 不正確なデータを訂正する権利
• 使用目的において不要なデータ等を消去する権利（忘れられる権利）
• 処理中データのコピーの提供を受ける、または別の自動処理システムに移す権利（データ・ポータビリティーに関する権利）
• ダイレクトマーケティング等のプロファイリングを含めたデータの処理に対して異議を申し立てる権利
• 異議申し立てを行った場合等にデータの処理を制限する権利

例えば国内での個人情報の収集において、前回触れた「要配慮個人情報」を取得する際には、原則的に本人の同意を得なければならない。これは不当な差別を招きかねない情報の自由な収集を防ぐことが趣旨であり、欧州連合の一般データ保護規則（GDPR）でも本人が明らかな同意を与えている場合等の条件が満たされない限り、その処理が禁止されている。これを企業の視点で見ると、どの業務で要配慮個人情報が取得されているかを全社的に洗い出し、それが本人の同意に基づき取得されているかを確認しておく必要がある。
また、個人データの保管において事業者は、個人による事後的な要望等の受付を行える体制を整えなければならない。

日本の改正法では、事業者は本人からの個人情報の開示請求に応じ、その結果として個人データの内容に誤りがある場合には訂正や削除を、適切な取り扱いに対する義務違反がある場合には利用停止・消去等を実施し、速やかに本人に通知する必要がある。EUの一般データ保護規則でも図表に示した通りの権利が認められている。事業者は権利申し立てに速やかに応対できるような個人データの整理を実施し、申し立て内容の妥当性を判断できる体制を構築しておくことが望まれる。

これらの取り組みは当然ながら規制対応の一環であり、最低限の対応が合理的と考えがちである。しかし国内外のグローバル企業を見ると、手厚い対応を準備しているケースも散見される。これは個人データの取り扱い方針が企業イメージに与える影響を考慮した結果であり、対応の遅れや不備が瞬く間に社会に広がり、ブランド毀損につながるリスクへの備えである。どこまで対応するかを考える根底には「お客様の大事な個人情報をお預かりしている」という想像力が重要であり、社内で十分に議論を重ねた上で方針決定されるべきだと考える。

KPMGコンサルティング
マネジャー　勝村 学

日経産業新聞　2016年11月9日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。