個人情報保護規制対応に求められるガバナンスの視点

1. 個人データ取り扱いにおける実務負担の増加
2. 海外現地任せは重大リスクにつながる
3. グローバルな規制対応に適したガバナンスの在り方とは

日本の改正個人情報保護法やEUの一般データ保護規則（GDPR）に代表される各国や地域の個人データ保護規制の強化に伴い、個人データ取り扱いにおける実務負担は着実に増している。例えば収集時の本人への利用目的の通知や同意取得、第三者と個人データを授受した場合の確認・記録義務、個人データを利用および削除・廃棄した際の運用記録の整備、紙書類や電子媒体、電子機器、システム及びデータへの安全管理措置──などだ。

日本の改正法では個人情報取扱事業者を判定する際の個人データ取り扱いの件数要件（5千件以上）が撤廃されることとなった。国際的な規制動向と同様で、企業規模や物理的な立地を問わず規制が適用される方向性だ。この傾向が示唆するのは、企業グループにおいて各拠点に任せっきりの個人データ保護に関する規制対応は重大なリスクとなりうることだ。本社の知らないところで海外子会社が規制に違反し、莫大な課徴金や訴訟の対象となった場合、本社が企業グループ全体を適切に管理していたのかを問われる。さらに長年かけて築き上げた顧客からの信頼も一瞬で崩れる事態にもなりうる。

日本企業ではこうした個人データ保護に関する規制について、各国・地域間の法令や商習慣の差異を理由に、現地の法人や支店を主体として個別に対応する方針を採用することが多かった。だが、各規制間における要件整理は十分に可能である。個々の規制が変更する都度、各国や地域の拠点主体でその部分だけ追加修正を検討することは、全社としてルールの整合性を失わせる。長期的な時間軸で考えれば、管理の例外を増やして本社によるモニタリングを困難にするなど、多大な非効率を生み出していたのではないだろうか。
ここで必要となるのは、規制対応としてのガバナンスの視点である。どこまでのルールを本社が決めて、どこまでの権限を海外拠点に移譲するのか。また、定めたルールが順守されていることをどのようにモニタリングしていくのか。企業グループ全体で制度設計を見直し、グローバルな規制対応を盤石にすることが望まれる。

KPMGコンサルティング
マネジャー　勝村 学

日経産業新聞　2016年11月17日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。