トピックス・コラム

2020年03月16日

2020改正個人情報保護法施行後の各事業者での対応について

2020年改正個人情報保護法施行後の対応について今から対応を検討し始めている事業者もあることでしょう。今回の改正によって個人情報保護法はさらに複雑化し、誤解を生じる可能性が高いものとなりました

過去にも、この複雑さからの誤解により、個人情報保護法の制定、改正の度に過剰反応が起きたり、潜脱行為と言われることが起きています。

ここで改めて個人情報保護法が制定、改正された背景をもっと高い位置から俯瞰、その上で事業者内部でのルール設計をとらえなおしてみてはいかがでしょうか。

日本において、過剰反応が起きたり、潜脱行為が起きたりする理由は、日本の個人情報保護に"グランドデザイン"が無い事が原因だと考えます。"グランドデザイン"が最初から無かったわけではありません。

2003年の制定時には、EU指令を先取りしてEU域外である日本で、EUと同等な個人情報の取り扱いルールを定める事で、EUとの障壁を無くして国際的に有利な場に立つという"グランドデザイン"がありました。
 2000年以前において既に「個人情報がダイヤの原石である。」と考えたEUでは、「磨く前の原石も価値をもつもの。」「勝手に海外に持ち出して、磨き、ダイヤとして販売されてはいけない。」と考えていました。日本は、国内の「原石」だけでは規模が小さいので、海外の原石も輸入して磨いてダイヤにするという商売が始まった時に、それが妨げられないように「EUにある原石を価値のあるものと考えてます。」「抜け駆けして原石を磨いて一人で儲けようなんてしませんよ。」ということをEUに示すためにも、個人情報保護法制定は必須だったいう背景が、この時の"グランドデザイン"になりました

しかし、既に20年以上が経過して日本がプラットフォームでも、クラウドサービスでもその覇権争いに負けた今、新たな"グランドデザイン"が必要とされているにもかかわらず、学者も弁護士もコンサルも寄ってたかって未だに法解釈の重箱の隅をつついています。例えば、「2020改正法で、漏洩時の報告が義務化されを取り上げて、個人データは保有しない方が良い、取り扱わない方が良いと言っている人います。こういった反応も、"グランドデザイン"が再構築できていないからの反応だと思います

日本の主要産業である自動車は、誰もがその価値を理解出来ています。そのため、安心して自動車を運転し、道路を利用できるようにするためにも、道路交通法必要だとの理解につながるのでしょうシートベルト着用義務も浸透しましたし、妊婦はシートベルト着用義務の除外とすることも当然に受け入れれています。その一方大型自動車の飲酒運転の罰則強化に過剰反応を起こす人はいません。

しかし、自動車産業と情報産業では、その成果物に対する国内の評判にまだまだ格差があるようです。情報の利活用から生み出されるものの価値が、自動車を使う便利さのようには伝わっていません。

「個人データの利活用から生み出される便利な社会を安心・安全な環境中で実現するための"グランドデザイン"」というものが示されないことからなぜシートベルト着用義務なのか議論・理解にることなく車の運転は危ないから運転はやめろ、車は使うななってしまっているかのような感じです

車の話であったならばその結果が日本の主要産業を潰す話につながると理解するでしょう。

情報は21世紀の石油だと例えられていますが、それを踏まえた個人情報の取り扱いルールを"グランドデザイン"から行っていかないと、いつまでも小手先対応になってしまいます。(日本の原石が安いコストで外国に持っていかれ、磨かれてダイヤになっても日本には利益が生まれない仕組みとなってしまいます。その一方で日本は外国から高いコストをかけない限り原石を持ってきてダイヤにすることができないのです。)

国がその"グランドデザイン"明確に示してはいないとしても、企業は自社での"グランドデザイン"持たなければうまくいきません個人情報の利活用によってお客様本人に、何の得があるのかを説明せず、個人情報保護法の遵守だけを気にするのは愚の骨頂でしょう。

車道の制限速度60キロに対して、60キロを超えてはいけません。というのはでも言える事です車の運転では、地理的状況、天候や路面状況、運転者の当日の状態や力量、周りの流れなどを考えた上で横断歩道に人が見えたら停止できるように運転する事を教えてあげないといけません。それも、便利な自動車を安心して長く使ってもらうためです。

個人情報も同様で、法律をそのまま自社の規定とすることには何の意味もありません。意味のあるルールを作成するには、"グランドデザイン"を明確にすること。自社においての個人情報の価値を理解し、お客様本人に与える価値を明確にしていくことが重要です。そのためには、守るべき 個人の権利利益とは何か? ということを一度真剣にとらえなおすこと必要だと思います。

を考えず、漏えいさえしなければよいという考えではうまくいきません。世の中をよくすること、便利にすることの中に、プライバシーの保護(データ活用時代のプライバシーって何?)があるという視点がなければ、うまく運用していくことはできません。 そのヒントがPIA(プライバシー影響評価)規格やGDPRの前文などにはあります

またルールを作成するにおいては全社対応ではなくて、重点業務での対応が求められていくという点にも着目する必要があります具体的にはグランドデザインにかかわる業務である社会的に重大な事態を起こす可能性がある業務」や会社にとってリスクの高い「多額罰金対象となったり取引停止(入札排他)につながってしまうような業務」を特定するところからスタートをかけていきます。

そして実装にあたっては、担当する従業者個々に気を付けさせるだけではなく、仕様で保護しないと対応しきれない部分もあるでしょう。車の例でいえば、荷運びのトラックで速度を監視したり、速度が出ないようにしていたりするのと同様なPIAのセーフティネットの構築です。

他にも、工場内のフォークリフトなどは、具体的なルールを決めてそれを実行するためのかなり詳細な教育をしていることでしょう。個人情報保護の従業者教育においても法の内容を教育するというものではなく、自ずと法が遵守されるようになるため具体的なスキルを身に着けさせる教育が必要となってきます。ルールがどんな時でも遵守できるような環境も整えていかなければなりません

2020改正個人情報保護法に対して、個人情報保護のテーマをもっと高い位置から俯瞰し、その上でとらえなおしてみることがこれまでの負のスパイラルからの脱却への道であると考えます

お問い合わせはこちらから。お気軽にご相談ください。
お電話での問い合わせ

03-5435-6460

受付時間 平日9:00〜18:00

WEBでの問い合わせ
WEBメールフォーム
ページトップへ