迫りくる世界の個人データ保護規制

個⼈情報保護委員会は、現在個⼈情報保護法の⾒直しについて検討を進めており、2019年4⽉末には検討状況の中間整理案を公表した。この公表によると、先⾏する欧州連合（EU）、⽶国、中国の規制動向も参照しながら国内規制のあるべき姿について議論が⾏われており、現⾏法の全⾯施⾏後3年となる2020年には、これらの国々に追随するような新たな規制が導⼊されることも想定される。
EUにおいては、企業の管理責任・説明責任を強く求めるEU⼀般データ保護規則（GDPR）が昨年5⽉に施⾏され、世界中に⼤きな衝撃を与えたことは記憶に新しい。

また、中国においても、サイバーセキュリティ法に付随する個⼈情報安全規範が2018年施⾏され、また、セキュリティ評価や当局への届け出を求める等級保護制度の改定案（MLPS2・0）も先⽇確定して、今年12⽉から運⽤が開始される予定となっている。⽶国のカリフォルニア州においても、消費者プライバシー法（CCPA）が昨年6⽉に既に可決されており、2020年1⽉以降に施⾏が予定されている。
世界各国の新たな法規制では、個⼈データの取扱いに関する事業者側の透明性確保および本⼈の同意や関与をより強く求める傾向にあり、事前に本⼈へ情報提供を⾏うべき項目や本⼈同意が有効と⾒なされるための条件などが、総じて細かく規定されている。また、事故発⽣時の対応や安全管理義務、本⼈の権利保護措置などについて、詳細な要求事項が定められているケースも少なくない。本連載では、各国データ保護規制への対応として、⽇本企業に求められる具体的な対応につき、今後概説を⾏う予定である。

国内法の⾒直し検討の状況も⾒据えつつ、各国規制へのコンプライアンスをどのように確保していくのか、⽇本企業の新たなチャレンジは続く。しかし、何より重要なことは、世界中で規制改正が相次ぐ背景をしっかり理解することと、デジタル時代の新たなデータ利活⽤およびデータ保護の戦略をいち早く策定して、世界のデータ収集・活⽤競争に勝ち抜いていくことだろう。現地法令への対応をおろそかにすれば、当地従業員はコンプライアンス軽視の⽂化と受け取ってしまう。法令順守のためのルールがしっかり整備されていなければ、現場で安⼼してデータを取り扱うことができない。今後個⼈データの利活⽤があらゆる場⾯で重要となるからこそ、データ保護規制への対応は、待ったなしの課題なのである。

日刊工業新聞 2019年6月11日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
パートナー　大洞 健治郎