Gartner、「改正個人情報保護法」施行に向けて、企業が今から取り組むべきアクションを発表

2021年9月15日

Gartner、「改正個人情報保護法」施行に向けて、企業が今から取り組むべきアクションを発表

People Centric (人中心) な取り組みを強化すべき

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、日本における2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべきアクションを発表しました。

EUが一般データ保護規則 (GDPR) を2018年に導入して以来、各国におけるプライバシー規制の取り組みが本格的に進んでいます。モダンなプライバシー法を制定した国では、規制当局による対処が拡大し、プライバシー規制の奥行きが増しています。一方、何十年もプライバシー規制を近代化していなかった国では、新たなデータ・エコノミーへの加入を求めて新法を制定するなどして、規制の範囲 (幅) を拡大しています。日本では、3年ごとに個人情報保護法の見直しが検討されることになっており、2022年の全面施行に向けた検討が進む中で、2021年8月2日に個人情報保護委員会から改正個人情報保護法の詳細を定める法令・規則、さらにはガイドラインが公表されました ^(*)。

アナリストでバイスプレジデントの礒田優一は次のように述べています。「世界中でデータ活用における取り組みが進んでいますが、その成否を分ける重要なポイントは、セキュリティとプライバシーの本質を理解することです。プライバシーは人間である以上、必要不可欠であり、基本的な人権です。プライバシーを軽視するということは、人権を軽視するということであり、企業は対応を誤れば信頼を大きく失います。企業は、法規制の動向を理解するのみではなく、そうした本質に立ち返り、People Centric (人中心) の視点から、より誠実で透明性のある取り組みを推進する必要があります」

Gartnerは2020年6月に、本件に関して企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ (体制の構築やセキュリティ・ポリシー) について発表しています。今回、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ／リスク・マネジメントのリーダーが取り組むべきポイントを以下に解説します (図1参照)。

図1. 2022年4月の改正個人情報保護法の全面施行前に、備えるべきこと

出典：Gartner (2021年9月)

まずは、プライバシー、セキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能とする体制を整え、内外のポリシーをPeople Centric (人中心) な視点からアップデートし、アウェアネス・トレーニングを実施します。その上で、プロセス上の対応を見直します (「改正個人情報保護法」では個人情報保護法上のデータの定義や取り扱いについて、「保有個人データ」「個人関連情報」「仮名加工情報」「越境データ」などで変更／追加があります)。ここでの見直しには、データ主体の権利のリクエスト (SRR) 対応、プライバシー・インパクト・アセスメント (PIA)、漏洩時の対応などについても含まれます。さらに、システム／技術的な対応についても検討する必要があります。例えば「個人関連情報」「仮名加工情報」が今回の改正で新たに定義されていますが、それらへの対応や、SRR対応、漏洩時の対応の取り組みを強化する中で、技術／システム的な対応が課題になる可能性があります。

礒田は次のようにも述べています。「プライバシーの議論は今後10年では収束せず、発展途上の状態が続くでしょう。既存のテクノロジに加えて、プライバシーを強化する新しいテクノロジ (プライバシー強化コンピュテーション) なども出現しています。企業は、そうしたテクノロジのトレンドにも目を向けつつ、People Centric (人中心) な取り組みを強化し、成熟度を高め、規制コンプライアンスの先を行く必要があります。『法令遵守の形式的対応』から『人間重視のプライバシーの議論』へと軸足を移すことで、『当社はコンプライアンスに反していないか』ではなく『当社は正しいことを行っているか』が議論されるようになります」

Gartnerのサービスをご利用のお客様は、リサーチノート「クイック・アンサー：『改正個人情報保護法』2022年の全面施行に向けて今から備えるべきこと」で関連する内容をご覧いただけます ^(**)。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

Gartnerは来る10月6～8日に、ガートナーセキュリティ＆リスク・マネジメントサミット 2021をバーチャル (オンライン) で開催します。本サミットでは、デジタル・イノベーション時代のセキュリティに照準を合わせ、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。プライバシーやセキュリティなどのデジタル・リスク管理については、前出の礒田をはじめとした国内外のエキスパートによる講演を予定しています。コンファレンスのニュースや最新情報は、Twitter (#GartnerSEC) でもご覧いただけます。

^(*) 個人情報保護委員会：「個人情報の保護に関する法律についてのガイドライン (通則編)」
https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf
^(**)Gartnerのリサーチは法的問題に関する記述を含む場合がありますが、Gartnerは法的アドバイスやサービスを提供するものではありません。実務上の対応については、個人情報保護委員会から公表される情報を踏まえ、また法律の専門家からのアドバイスも受けて、各企業で判断する必要があります。