個人データ保護規制対応を通じてどう変革すべきか

続いて、Technology Risk Services ディレクターの勝村学氏が、「個人データ保護規制対応を通じた企業変革」というテーマの下、説明を行った。同氏は冒頭、「日本企業のデータ活用推進に際してプライバシーに関する課題は複雑かつ山積み。日本企業の担当者は、個人情報保護法を遵守していれば大丈夫と考えているが、消費者はそう見ていない。自社がどのようにプライバシー守っているのかをユーザーに伝えていくかも必要となっている」と語った。

  • KPMGコンサルティング Technology Risk Services ディレクター 勝村学氏

続いて、勝村氏は2022年4月の改正個人情報保護法全面施行によって、何が変わるかについて説明した。2022年の個人情報保護法改正の要点は、「罰則・監督の強化」「定義の変更・新概念の創設」「情報通知項目の拡充」「本人権利の拡大」としてまとめることができる。例えば、透明性の観点から通知の項目が拡充され、本人に対して通知すべき情報として管理者の住所、代表者の氏名、保有個人データの処理の方法、個人情報取扱体制や講じている措置の内容などが追加される。

  • 2022年の個人情報保護法改正の要点

勝村氏は、改正個人情報保護法への対応は、「ユーザーコミュニケーション」「データプロセッシング」「パートナーリレーションシップ」から構成されるフレームワークを念頭に置くと効果的だと説明した。

  • 改正個人情報保護法への対応の全体像

「ユーザーコミュニケーション」においては、「わかりやすく説明していること」と「ユーザーが自らの情報を管理(コントロール)できる機能」を満たしていることがポイントとなる。「データプロセッシング」においては、改正法で「個人関連情報」および「仮名加工情報」についての定義が追加されており、対応すべき個人情報の領域が拡大していることから、企業グループ内におけるデータの網羅的な棚卸しが重要な対策と位置づけられる。「パートナーリレーションシップ」においては、信頼できるパートナーを選定するための基準の改善に着手する企業が増えており、取引先 ・ 委託先の確認手続や手法等を見直している状況だという。

また、グローバルの個人データ規制については、各国共通で実施することとローカルで実施することを識別して、体制を作る必要がある。体制の構築においては、責任者をどう置くかもポイントとなる。

  • グローバルの個人データ保護規制に対応するためのアプローチ

こうした状況を踏まえ、勝村氏は個人データ保護規制への対応を通じた企業変革の起点は対応方針の策定にあると説明した。体制、プロセス、会社のルール、対策項目についてすり合わせて、企業グループとしてのプロジェクトを進めることが望ましいという。

  • 企業変革を導くための個人データ保護規制の方針検討のポイント