Search

厳格化する個人情報保護法、企業はどう対応すべき? 注目の「4つのポイント」 - ITmedia

この記事は会員限定です。会員登録すると全てご覧いただけます。

 2020年6月12日、政府は改正個人情報保護法(正式名称: 個人情報の保護に関する法律等の一部を改正する法律案 以下、本稿では「改正法」とする)を公布した。同法は2年以内に施行される予定だ。

 改正法は、個人データの保護にまつわる規制を厳格化し、個人データを扱う事業者にはさらなる透明性を求める。これにより、データの管理体制を変えざるを得ない企業が出てくることは明らかだ。本記事では、改正法が企業のデータ管理にどのような変化を求めるのか、ベンダーによる対応の取り組みと一緒に見ていきたい。

今知っておきたい、改正個人情報保護法の「主な変化」

 2015年に改正した個人情報保護法は「3年ごとの見直し(附則第12条)」を打ち出した。個人情報保護委員会が集めた関係団体や有識者へのヒアリングなどを経て、今回の法改正に至っている。

 2020年6月に公布された改正法は、事業者が守るべき責務や自主的な取り組みを促すルールを追加した。違反した事業者への罰則は、改正前の「6カ月以下の懲役または30万円以下の罰金」から「1年以下の懲役または100万円以下の罰金」へ厳格化した。虚偽報告が判明した事業者への罰則も、改正前の「30万円以下の罰金」から「50万円以下の罰金」に引き上げた。

改正法の主な変更内容(出典:個人情報保護委員会)

 変化するのは罰則だけではない。個人データに関する権利も変化した。例えば、個人データを事業者が不正に取得するなどの法令違反があった場合に加え、改正法は「個人の権利または正当な利益が害される恐れがある」場合に、消費者が自身の個人データを保有する事業者に対してデータの利用停止や消去を請求する権利を認める。

 事業者が保有する個人データの開示を消費者が求める際の条件も変化した。現行法では、書面のみの開示だが、改正法はデジタルを含めて請求する本人が開示方法を指示できるようにする。また、6カ月以内に消去される個人データも、新たに情報開示や利用停止の対象に含める。

企業は改正法にどう対応べき? ベンダーが挙げる「4つのポイント」

 罰則の厳格化も含めた複数の変化を考慮すると、企業は顧客データを含む個人情報の扱いに問題がないか、改正法施行までに抜本的に見直しておきたいところだ。とはいえ、どこをどう見直せばいいのか。

 改正法の公布に備え、個人データを扱う企業の負担を軽減しようと取り組むのがエヌ・ティ・ティ・データ(以下、NTTデータ)だ。

 同社の花谷昌弘氏(金融事業推進部 デジタル戦略推進部部長)は「企業は個人データの格納先を把握し、削除要求があれば速やかに対応する体制作りが求められる」と話す。

 同氏はまた、改正法の重要なポイントとして、個人データが漏えいしてしまった際、企業がその旨を個人情報保護委員会に報告し、個人データを提供した本人へ通知することを定めた点を挙げた。こうした報告や通知は、現行法では「努力目標」だが、改正法では義務になる。

NTTデータの花谷昌弘氏(右)と作田豊氏(左)

 改正法に伴う企業側の対応策として、NTTデータは、「DB(データベース)の統合」「電子開示サービス」「DMP(データマネジメントプラットフォーム)再構築」「同意管理サービス」の4つが必要だとする。

 このうちDB統合が必要になる理由は、個人データの削除が要求された際、データがサイロ化していては対応がおろそかになってしまうためだ。

 電子開示サービスが求められる理由は、前述のように、企業が保有する個人データを開示する際の方法にデジタル媒体が含まれるためである。

 DMP再構築について、NTTデータは「個人データ保護の厳格化」という観点から、今後必要になる可能性が高いと予測している。同社はその背景として、過去に大手のWebサービスがサードパーティークッキーを使ってユーザーのWeb閲覧履歴を追跡していたことが判明し、社会問題になった点を挙げる。

 同意管理サービスが必要になるとする理由も同様で、個人データについて「誰から個人情報利用の同意を取得したのか、社内で履歴管理を行う必要性が生じる可能性」を同社は強調する。

 同社は実際に、自社で手掛ける個人データ流通基盤の一機能として、同意管理サービスの開発を進める。2020年5月には、実証実験とアンケートを実施した。

 「個人情報を扱う事業者として、どのような規約あるいは『安全値』であれば、消費者は納得して個人情報を提供してくれるのか理解したいと考えた」と花谷氏は語る。

NTTデータによる同意管理サービスの概念実証(PoC)概要。オファーにひも付く規約を作成し、生成した規約文を基に安全値を確認するという(出典:NTTデータ)

 花谷氏のいう「安全値」とは、扱う個人データの種類や共有範囲といった観点から、個人データの取り扱い規約が持つ安全性を数値化する指標だという。

 同意管理サービスは、企業が「規約作成画面」と呼ばれる画面に表示された質問に回答すると、規約文を自動生成する仕組みだ。同時に、企業の回答に応じて規約の安全値を算出する。

同意管理サービスで用いるサマリー情報画面。申し込み内容を基に安全値を算出し、取得する個人情報の内容や利用範囲なども記録する(出典:NTTデータ)

 また、同社は2020年10月から共通顧客ID管理サービス「My Information Tracer」(mint)の提供を開始する。同サービスは、個人情報を安全に流通させるため、共通IDの発行や管理、認証機能、消費者本人の同意確認管理を可能にする機能を備える。また、個人データを巡る法規制の変化に応じて機能拡張を図る。

 同社の作田豊氏(社会基盤ソリューション事業本部 デジタルソサエティ事業課 課長)はmintについて「多数の事業者をつなぐエコシステムの実現を目指した」と説明する。

 例えば、銀行やインフラ事業者が持つ個人データを、メーカーや広告代理店といった事業者が活用したい場合、データ規模に伴ってそのコストも膨れ上がる。mintは各事業者が保有するシステムと接続用APIを提供することで、個人情報ビジネスの"ハブ"を目指すという。作田氏は「(自社システムを)mintと接続すればビジネスコストを抑制できる」と話す。

mintの主な機能。(出典:NTTデータ)

コロナ後の世界で起こる、データと企業、社会を巡る変化にも注目を

 改正法をきっかけに、企業にとってコンプライアンス対応と同時に課題になるのが、個人データを保護しつつ、企業の成長につながるようなデータ活用をどう活性化するかだ。

 この点について、花谷氏は新型コロナウイルス感染症(COVID-19)の拡大以降、個人データと消費者、企業を取り巻く環境が変化する可能性に注目する。具体的に起こり得る変化を説明する上で、同氏は「私のビジネス」「命」「企業」という3つのキーワードを挙げた。

 このうち「私のビジネス」は、個人が自身の所有するスキルや職歴を開示することによって仕事を得る経済を指す。既に、個人ユーザーが自身のスキルをオンラインで開示し、ビジネスにつなげるスキルシェアサービスは珍しくなくなった。

 「命」とは、COVID-19対策として各国で普及する接触確認アプリのように、研究開発支援を目的に個人データを収集し、ユーザーが自身の咳(せき)や発熱などの症状を登録することで簡易的な測定や医師による遠隔診断を実現し、命を守るような取り組みを指す。

 そして「企業」は、個人データの取り扱いに関して、企業がどれだけ消費者に明確な姿勢を伝えられるかを指す。

 「(商品購入時に属性情報を取得した)企業がデータを大切に扱うのか、消費者に製品開発やサービス改善などの形で還元するのか、はっきりした姿勢の提示が求められるようになる。こうした姿勢を示す企業に支持が集まるだろう」(花谷氏)。

 今後、個人データと企業、消費者の関係に起こり得る変化として、花谷氏は、ドク・サールズ氏が著書『Intention Economy』で提唱したVRM(ベンダーリレーションシップマネジメント)に言及した。

 「企業が顧客情報を管理して、ターゲティング広告を行うCRM(顧客関係管理)の世界から、企業に求めるものを伝えることでサービスを享受するVRMに移行するのではないか」(花谷氏)

 また、企業だけでなく国単位の取り組みも進んでいる。例えばフランスは、政府や民間企業が保有する個人情報をPDS(パーソナルデータストア)に集約し、その利用をデータが制御するための実証実験「MesInfos」を実施している。NTTデータも2016年から同実験に参画し、2019年には「MesInfos Japan」プロジェクトを立ち上げた。現在14社が同プロジェクトの下で「個人がデータ流通をコントロールできるか取り組んでいる」(花谷氏)という。

 データを管理、活用する体制が企業の成長を左右する時代において、花谷氏は「データ活用で共創する世界観に変わっていく」と指摘する。データ管理体制の改善や効率化は、企業を取り巻く複数のタスクの一部ではなく、もはや経営課題になりつつある。今回の法改正をきっかけに、意識の変革が進むのではないだろうか。

Let's block ads! (Why?)



"保護" - Google ニュース
July 08, 2020 at 05:00AM
https://ift.tt/2DlD0cb

厳格化する個人情報保護法、企業はどう対応すべき? 注目の「4つのポイント」 - ITmedia
"保護" - Google ニュース
https://ift.tt/2SPsJJn
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update

Bagikan Berita Ini

0 Response to "厳格化する個人情報保護法、企業はどう対応すべき? 注目の「4つのポイント」 - ITmedia"

Post a Comment

Powered by Blogger.