「個人情報保護法の改正に対応しなければならない、という意識が高まってこない。このままで大丈夫なのだろうか」。富士通総研の上 茂之氏(金融・地域事業部 エキスパート・コンサルタント)は警鐘を鳴らす。改正された個人情報保護法は2017年5月30日に全面施行される。あと2カ月しか猶予がない。
改正により、多くの規制強化と一部の規制緩和が行われる。多くの企業はまずは規制強化に対応しなければならない。例えば、改正後の個人情報保護法では、日本から海外にある企業への個人データの移転に制限が加えられる。給与計算などの社員向け事務処理を海外に委託している企業は、影響を受けるはずだ。
ところが、「当事者になりそうな企業でも、十分に意識されていないと感じる。メディアで取り上げられることが多い『EU一般データ保護規則(GDPR)』は感覚的に10社に1社くらいは知っているのに、より時期が近く直接的な影響がある個人情報保護法の改正は思った以上に知られていない」(上氏)と言う。
本来なら、利用しているクラウドサービスを含め、海外企業への業務委託の状況について棚卸しをして、改正法に適合できるかどうかチェックしなければならない。例えば、委託先がAPEC基準の認定(CBPR認証)を受けている、認定はないが監査などで安全管理義務の順守を担保できる、といったことだ。利用形態によっては新しい義務に該当しない場合もある。上氏はそれが十分に進んでいないと指摘する。
社外への個人データの提供に記録義務
ほかにも様々な規制強化が行われる。ISIDビジネスコンサルティングの江口 彰氏(経営戦略第4ユニット マネージャー)は「第三者に個人データを受け渡す場合、渡す側はどういったデータを誰に受け渡したか、受け取る側はどういったデータを誰から受け取ったのかを記録して保存する義務が課されるようになる」という点に注意すべきと話す。これまで、本人の同意は必要だったが記録義務はなかった。
例えば、地域特産品を集めたWebショッピングモールに出店する、地場の小売店があるとする。Webショッピングモールが小売店に対して販売履歴データを提供すると、提供形態や内容によっては新しい規制に該当する可能性がある。その場合は、やり取りするデータ項目や提供日(受取日)などを記録して保存しなければならない。「記録の方法は専用システムではなくExcelでもいいが、バックアップや内部不正防止を意識した運用設計の見直しが必要になる」(江口氏)。
なお、商品を送付するため、消費者の氏名や住所をWebショッピングモールが小売店に提供するのは「本人に代わって提供する」と解釈され、上記の義務は適用されない。新しい義務が課されるかどうかは提供形態による。自社が行う個人データの他社とのやり取りがどういった形態で、それが新しい規制に引っかかるかどうかを確認しなければならない。
中小企業も対象になる
個人情報保護法の改正はあらゆる企業に影響する。現行の個人情報保護法は、保有する個人情報が5000人分以下の企業には適用されなかった。前述のようなWebショッピングモールに出店する小売店の多くは小規模で、個人情報保護法を順守する義務は課されなかった。しかし、改正法では原則としてすべての企業が個人情報保護法の対象になる。
改正法は2015年9月に公布され、2016年11月には実務で順守すべき事項を整理したガイドラインが公開された。影響の大きさから十分な準備期間が取られたが、そのことが「話題が盛り上がらない」という逆の効果を生んでしまったと見られる。その結果、「どういった改正が行われるのか、そもそも知らないというケースが多い」(富士通総研の上氏)。結構、マズい状況かもしれない。
