個人情報保護法対応のポイントを海外GDPRの観点から解説

グローバルでデジタル化の進展がますます加速する中で、個人情報やプライバシーの保護に関する意識も高まっています。このような流れを受けて、2018年5月にEUで施行されたGDPR（General Data Protection Regulation, 一般データ保護規則）は、プライバシーに関する個人の権利を広範に保護することをうたう法制度として大きな注目を集めています。そして、日本を含む各国は、このGDPRに追随するようにプライバシー法制度の改正・強化に乗り出しているのです。
この記事では、グローバルで強化されるプライバシー法制度と、その対応のためのアプローチについて紹介します。

世界的に影響力を強めるGDPR

GDPRは、EU域内に留まらず日本や米国を含む世界各国に大きな影響を与えています。その一つが、EU域内から域外への個人情報データの移転です。EUと米国との間のデータ移転は、「プライバシーシールド」という枠組みに基づいて認められていましたが、2020年に欧州司法裁判所はこれを無効とする決定を下しました。これにより、米国企業は、GDPRに準拠する形での新たな対応を迫られることになりました。
日本とEUとの間のデータ移転については、2019年1月に十分性認定が発効していますが、この十分性を維持するために今後の法律や規則の改正などの可能性も考えられますので、GDPRが定めるデータの国際間移転に関する枠組みであるSCC（Standard Contractual Clauses, 標準契約条項）をはじめ、GDPRの今後の動向を注意深くウォッチする必要があるでしょう。

また、GDPRは、世界各国におけるプライバシー法制度の改正・強化の流れをつくりだしました。例えば、米国カリフォルニア州で2020年から適用されているCCPA（California Consumer Privacy Act、 カリフォルニア州プライバシー法）、中国で最近制定・準備されている民法典や個人情報保護法などの一連の法律・規則、現行よりも格段に厳しい規定を盛り込んだ個人情報保護法案を導入しようとするインド、2021年に個人情報保護法を施行したブラジルなど、枚挙にいとまがありません。日本においても、2022年4月に改正個人情報保護法が施行される予定です。いまや、GDPRをモデルとしたプライバシー法制度を理解し、それに対応することは、企業活動にとって必須であるといえるでしょう。

個人情報保護担当が負うべき責任・役割・権限の拡大

ますます強化されるプライバシー法制度に対応するためには、個人情報保護を担当するチームが有する責任・役割・権限も拡大していく必要があります。データ保護責任者（DPO）を配置し、適切な責任・役割・権限を与えたうえで、事業担当・法務担当・システム担当などが組織横断的に連携し個人情報保護を進めていく、全社横断的な体制の構築が求められます。

個人情報保護管理で直面する課題とシステムからのアプローチ

新たなプライバシー法制度に対応するためにはいろいろな課題がありますが、ここでは個人情報を管理するシステム面の主な課題についてみていきます。
特に大きな課題となるのは、個々の事業部ごとに構築・運用されている個人情報データベースです。このような状況は「データベースのサイロ化」などとも呼ばれます。どの事業部がどれだけの個人情報を管理しているかを把握できないという状況は看過できません。一部のプライバシー法制度は、定期的な監査・報告義務を課している場合もありますし、個人や団体からの訴えにより当局から監査を求められることも考えられますが、「データベースのサイロ化」は監査に対応するうえで大きな問題です。

サイロ化されたデータベースには、同一の個人についてのデータが複数存在してしまっているということもよく起きています。それらのデータ間で相違が生じてしまっている場合は、どちらのデータが正しいのか判別できない、というケースもあるでしょう。これは、企業にとっては過大な管理コストを負担させられるだけでなく、個人情報に基づいた適切なサービス・施策を提供できないという点においても大きな機会損失です。さらに、プライバシー法制度の観点からも、GDPRによって広範に認められつつある個人の自身のデータに関する権利を保障するうえで大きな障害となります。

さらに、現在保有している個人情報については、どのような形で利用目的を説明し、それに対していつ・どのような形で個人からの同意を取得したのかといった、いわゆる「同意の管理」が適切になされていないデータが多く含まれる可能性があります。最近のプライバシー法制度においては、このような「同意の管理」を厳しく求めるだけでなく、個人がいつでも「同意」を確認・撤回できる権利を認めているケースが増えています。この「同意の管理」への対応も喫緊の課題といえるでしょう。

このような課題に対応するために、顧客データの統合を模索する企業が増えています。「データベースのサイロ化」を克服し、企業内でそれを必要とする事業部門が使用できる、「シングル・カスタマー・ビュー」ともいうべき単一のデータソースの構築は、顧客データ統合を実現するうえでのアプローチとして最近注目を集めています。

また、ビジネスのDX化が急速に進展する中で、ECをはじめとしてビジネスのデジタル化・オンライン化もかつてない速度で広まりつつあります。この中で、顧客一人ひとりを適切に認証するための顧客IDの重要性が改めて注目されています。従来は「データベースのサイロ化」とともに事業部単位でバラバラに構築・運用していた顧客IDを統合する「顧客ID統合」に取り組む企業も増えています。統合された顧客IDに、サービス提供や施策展開に必要な信頼できる正しい個人情報を、明瞭かつ平易な文言で明確に説明された利用目的に対していつ・どのように同意を取得したかを証明できるデータとともにひも付けて管理するデータベースを構築し、このデータベースに、個人情報を利用する必要がある事業部などが運用するCRMなどのシステムを接続するといったアプローチへの注目が高まっています。