ガートナー ジャパン は6月19日、個人情報保護法の改正を機に、IT/セキュリティ・リーダーが押さえるべき4つのポイントと取り組むべきアクションを発表した。

「個人の権利の在り方」については、これまで日本では、個人情報の漏洩に注意を払う「セキュリティ」に目が向けられていたが、今後はそれだけでなく個人の「プライバシー」をより尊重・重視する姿勢が企業にとって非常に重要になるとしている。

「事業者の守るべき責務の在り方」について、セキュリティリーダーは、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握し、万一の漏洩等を想定したインシデント対応プロセスが機能するかを早期に点検すべきだという。不当な行為を助長するなど不適正な方法により個人情報を利用してはならない旨も盛り込まれているため、そうした意味でも現状把握から早期に着手すべきだということだ。

「データ利活用に関する施策の在り方」については、IT/プライバシーの観点から特に個人関連情報の扱いについて留意すべき点があるという。個人関連情報を第三者が取得することが想定されるときは、本人の同意確認が企業に義務付けられ、また仮名加工情報が新設されることでデータの利活用が促進される可能性があるが、個人情報保護委員会から公表される情報を踏まえ、それに従う必要があるとしている。

「ペナルティの在り方」について、改正個人情報保護法では個人情報保護委員会からの命令への違反等についての法定刑が引き上げられるが、GDPRの巨額の制裁金に比べればまだ及ばない。企業はこれを単純に金額だけのインパクトとして捉えるべきではなく、顧客からの信頼を大きく失い、顧客離れが起こった際に、ビジネスに与える負の影響の方がはるかに甚大だとしている。

また、必要なアクションとして、専門のプライバシー・オフィサーや専門部署を設置するなど、新たな体制を構築すること、そして「外部」と「内部」それぞれに向けたプライバシー・ポリシーを刷新することを挙げている。