2.プライバシー保護のグローバリゼーションのために企業が行うべき3つの施策
それでは、どのような施策を講じればよいか。実際にプライバシー保護のグローバリゼーションに取り組んでいる企業の事例をもとに説明する。 一般にプライバシー保護施策は、データマッピング、規定類の策定、グループ管理体制の構築、越境移転への対応、データ主体(ユーザー)の権利への対応、委託先への対応、データ保護影響評価、従業員教育が挙げられる。その中でも、特に肝となる論点は「グローバル管理体制の構築」「ミニマムのプライバシー保護レベルの設定」「データマッピングとデータ主体の権利への対応」の3点である。 (1)各グループ会社が連携するグローバル管理体制の構築 各国の個人情報保護法の動向やプライバシーモデルを把握し、プライバシー保護をグローバライズするためには、まずは各グループ会社が連携を行う管理体制の構築が必要となる。各国の法令下でデータ保護オフィサー(DPO)の設置が求められているか否かにかかわらず、企業のビジネス戦略やプライバシー保護へ関与する責任者(チーフプライバシーオフィサー:CPO)やそれを支援するプライバシーチームの設置が必要になる。 既に取り組みを実施している企業は、ビジネスを展開する地域統括拠点へCPOを設置し、各CPOが担当する地域内のグループ会社のプライバシーチームと連携しながら、プライバシー保護にかかわるアドバイスの提供や監視を行っている。またプライバシーチームは、CPOからのアドバイス等をもとに、プライバシー保護の施策を導入・運用している。 さらに、全従業員が、CPOやプライバシーチームが策定したプライバシー保護にかかわるルール、体制、運用手順等の情報へ簡単にアクセスできるように、これらの情報を集約した共有サイトを構築することが推奨される。また、国内外の制裁金事例や訴訟事例がニュース記事となっている場合は、これらを従業員へ共有することでプライバシー保護の重要性がより伝わり、意識が高まるだろう。 (2)ミニマムのプライバシー保護レベルの設定 上記で述べたように、各国の個人情報保護法は異なっている。一般に欧州、北米、東アジアはプライバシー保護レベルが高く、その他の地域は、いまだ途上段階にあるといわれている。 欧州のGDPRは、プライバシー保護の「グローバルスタンダード」といわれてはいるものの、当該法令の要件をそのまま全グループへ適用することは、地域特性の違いから難しいだろう。一方、多額の制裁金を科されるリスクも避けなければいけない。 そのため、グローバルにビジネスを展開する企業は、これらを考慮した上で、ミニマムのプライバシー保護レベルを設定する必要がある。既に取り組みを実施している企業は、自社の地域統括拠点がある国の法令と要件の差分を把握し、個人情報や機微情報の定義、さらに独自のグローバルプライバシー保護レベルを設定し、グループ会社へプライバシー保護施策を導入・運用している。また、ミニマムのプライバシー保護レベルに加え、リージョン・カントリースタンダードとして、各地域・国のプライバシーモデルに応じた重点施策を導入することで、よりプライバシー保護レベルを強化できるだろう。 (3)グループ内外におけるデータマッピングに基づいたデータ主体の権利への対応 法令の厳格化、データ主体の権利強化に伴い、各国ではユーザーの個人情報にかかわる問い合わせが急増している。実際にユーザーからの問い合わせに適切に対応できず、監督機関から制裁を科され、レピュテーションが低下した企業も出てきている。 これらのリスクを最小限に抑えるために、企業はユーザーから問い合わせを受けた際に、なるべく早く、また正確に応じなければいけない。そのためには、グループ内外におけるデータマッピングを行い、自社がユーザーから取得している個人情報の種類、利用目的、適法性の根拠、同意の取得状況、第三者提供の状況や海外への越境移転などを整理しておく必要がある。既に取り組みを実施している企業は、ミニマムのプライバシー保護レベルをもとに、グループ共通のデータマッピング項目を策定し、CPOや各グループ会社のプライバシーチームを通じて、個人情報の取り扱い状況を洗い出している。
からの記事と詳細 ( グローバルで進む、個人情報保護法の厳格化 企業が行うべき3つの施策(ITmedia ビジネスオンライン) - Yahoo!ニュース - Yahoo!ニュース )
https://ift.tt/3EUrP5J
No comments:
Post a Comment