関連法規制の動向と日本企業が備えておくべき機能とは

「ポストGDPR~グローバルプライバシーコンプライアンスの時代へ」第8回 - GDPR施行後に強化される各国のプライバシー保護規制の動向と、日本企業がとるべき体制整備について解説する。

GDPR施行後に強化される各国のプライバシー保護規制の動向と、日本企業がとるべき体制整備について解説する。

世界各国でプライバシー規制の波

2018年5月25日にGDPRが施行されて以降も、世界各国においてプライバシー保護規制の強化は相次いでいる。米カリフォルニア州では2018年6月に新たな消費者プライバシー法が可決され、2020年1月から施工予定であり、ブラジルでも2018年8月にブラジル一般データ保護規則が承認され、18ヵ月後からの施行が予定されている。また、インドにおいてもGDPRを強く意識した個人データ保護法案が2018年7月に提出されており、順当に進めば2019年上期に成立、その後12ヵ月の期間を経て施行となる可能性がある。

GDPRと同様に、これらはいずれもデジタル社会における新たなプライバシーリスクへ対処する内容となっており、保証されるべき個人の権利が幅広く明示されていると同時に、個人情報の取扱事業者には厳しい管理義務と説明責任が求められている。さらに、国外の事業者にも適用され得る規制となっていることと、GDPRに倣って罰則金上限額の設定も軒並み高額に設定されている点に注意が必要だ。

プライバシー保護規制の動向に注意すべき国

この他、中国やフィリピン、トルコなど、一定の条件を満たす個人データ取扱事業者に監督機関への登録を要請するケースも増えてきたため、このような動向にも注意しておく必要がある。
また、日本国内においても、2017年5月に改正された個人情報保護法は、改正法付則12条により施行後3年をめどに見直しの検討が行われることとなっているため、各国の動向も睨みながら、2020年までにビッグデータ時代の新たなルールが取り込まれることも想定される。

レグテックなどの技術で効率化

ビジネスのデジタル化とグローバル化が進む中で、対応すべきプライバシー規制もますます厳格化、複雑化しており、どの日本企業も思わぬところで足をすくわれる恐れがある。こういった状況へ効率的に対処するため、欧米の先進企業では、規制対応自体をテクノロジーで効率化しようとするレグテックの検討も盛んだ。
しかし、各事業者にとって最も重要なことは、まず第一に各国で相次ぐ新規制の背景、つまりデジタル社会における個人データ保護の問題の本質を理解することだろう。そして、規制が生まれる都度パッチワークの検討を重ねるよりも、それらの新たな課題に対処するグループ全体での方針を策定し、グローバルで共通したプライバシー保護のための管理体制を構築しておくことが理想である。
そのための基盤として、自社グループ内でどの国の個人データをどこでどのように取り扱っているのか継続的に最新状況を把握し、必要なコントロールを行うことのできるデータガバナンス体制の整備が求められる。

GDPR施行以降の各国でのプライバシー関連規制の主な動向

年月 国・地域 各国でのプライバシー関連規制の主な動向
2018年
5月
欧州 欧州一般データ保護規則(GDPR)の施行
6月 米国カリフォルニア州 消費者プライバシー法(CCPA)の可決
7月 インド 個人データ保護法案(PDPB)の提出
8月 ブラジル ブラジル一般データ保護規則(LGPD)の施行
9月 米国カリフォルニア州 コネクティッドデバイスセキュリティー法(CSCD)の可決
10月 トルコ 海外事業者登録システム(VERBIS)のWeb公開

執筆者

KPMGコンサルティング
パートナー 大洞 健治郎

日刊工業新聞 2018年11月8日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

ポストGDPR~グローバルプライバシーコンプライアンスの時代へ

お問合せ