2020/08/18
プライバシー・法規制(GDPR等)
2020年7月15日付の日本経済新聞において、個人情報保護委員会が企業に対してサイバー攻撃等による個人情報の漏えいが発生した場合に被害者全員への通知を義務付ける方針と報じられています。(実施は2022年春予定)
(参考: 日本経済新聞 2020年7月15日「サイバー被害、全員に通知 個人情報漏洩で企業に義務」)
6月に成立した改正個人情報保護法では、個人情報の漏えい・滅失・毀損などの事態が発生した場合、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会に報告し、本人に対し通知しなければならない、と定めています。(第22条の2など)
サイバー攻撃など不正アクセスを「個人の権利利益を害するおそれが大きいもの」としてこの「委員会規則」に定めると思われます。違反と認定された場合、最高で1億円の罰金が科されるほか、悪質な場合は社名などが公表されることも考えられます。
このような通知義務は、既にEUの一般データ保護規則(GDPR)やカリフォルニア州の消費者プライバシー法(CCPA)においても義務化されており、日本の対応はグローバルの流れに近づけたものといえるでしょう。
企業には、万が一漏えいなどの事態が発生した際に、迅速に被害状況を調査・把握するとともに、被害に遭った可能性のある個人に対して迅速かつ確実に報告を行い、その記録を残していくことが求められるでしょう。個人データ管理システムには、以下のような要件が求められます。
SAP Customer Data Cloud from GIGYAは、GDPRをはじめとする各国のプライバシー保護法制度への対応を求められるグローバル企業において豊富な導入実績を有しており、GDPRが求める厳しい通知義務への対応を支援する様々な機能を提供しています。
また、SAP Customer Data Cloud from GIGYAのクラウドプラットフォームはSAP社により24時間365日の体制でモニターされています。
GDPR対応で多くの実績を有するSAP Customer Data Cloud from GIGYAは、日本における今後の個人情報管理においてもプロアクティブに対応できる有力なソリューションです。
【 プライバシー・法規制(GDPR等) 】最新のコラム
GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。