個人情報漏えい時の通知義務の強化により求められる個人データ管理システムとは

2020年7月15日付の日本経済新聞において、個人情報保護委員会が企業に対してサイバー攻撃等による個人情報の漏えいが発生した場合に被害者全員への通知を義務付ける方針と報じられています。（実施は2022年春予定）
（参考: 日本経済新聞　2020年7月15日「サイバー被害、全員に通知　個人情報漏洩で企業に義務」）

6月に成立した改正個人情報保護法では、個人情報の漏えい・滅失・毀損などの事態が発生した場合、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会に報告し、本人に対し通知しなければならない、と定めています。（第22条の2など）
サイバー攻撃など不正アクセスを「個人の権利利益を害するおそれが大きいもの」としてこの「委員会規則」に定めると思われます。違反と認定された場合、最高で1億円の罰金が科されるほか、悪質な場合は社名などが公表されることも考えられます。

このような通知義務は、既にEUの一般データ保護規則（GDPR）やカリフォルニア州の消費者プライバシー法（CCPA）においても義務化されており、日本の対応はグローバルの流れに近づけたものといえるでしょう。

企業には、万が一漏えいなどの事態が発生した際に、迅速に被害状況を調査・把握するとともに、被害に遭った可能性のある個人に対して迅速かつ確実に報告を行い、その記録を残していくことが求められるでしょう。個人データ管理システムには、以下のような要件が求められます。

• 個人データを複数のシステムが分断して保管されている「サイロ化」状態を解消し、どのようなデータを取得・保管しているのかを一元的に把握できる「シングル・カスタマー・ビュー」の構築
• 個人データ管理システム全体を監視し、不審な兆候がみられた場合に迅速にアラートを受け対処できる包括的なモニタリングシステム
• 個人データの取得に際して確実に連絡を送ることができる、信頼の置ける通知手段（メールアドレスなど）の取得・確認を含めた登録フロー

SAP Customer Data Cloud from GIGYAは、GDPRをはじめとする各国のプライバシー保護法制度への対応を求められるグローバル企業において豊富な導入実績を有しており、GDPRが求める厳しい通知義務への対応を支援する様々な機能を提供しています。

• 複数のタッチポイントで収集する個人データを顧客一人ひとりに正しくひも付けて管理する「シングル・カスタマー・ビュー」の構築
• メールアドレスの取得・認証を必須化するなど、グローバルのベストプラクティスを反映したユーザー登録フローを簡単に構築し、運用するWebサイトやモバイルアプリの画面に反映できる「レジストレーション・アズ・ア・サービス（RaaS）」機能

また、SAP Customer Data Cloud from GIGYAのクラウドプラットフォームはSAP社により24時間365日の体制でモニターされています。

GDPR対応で多くの実績を有するSAP Customer Data Cloud from GIGYAは、日本における今後の個人情報管理においてもプロアクティブに対応できる有力なソリューションです。