個人データ管理に求められる新たな仕組みとは

個人データの利活用がますます高度化、複雑化する中、企業は対応する管理業務の見直しを迫られている。また、各国規制では、データ利用の透明性確保やデータ提供者本人の権利保護を強く求める傾向にあり、データ管理の高度化も求められる。
身の回りのほとんどのデータは、個人にひもづく個人データとなってきており、このような状況下では「個人データファイルは暗号化すること」といった一律のルール設定では、もはや業務が回らない。各国規制においても「リスクに応じた保護措置」を設定するよう管理者に求める例が増えてきており、特定のリスクを有する場合に当局への報告を求めるケースもある。

企業の管理部門においては、現場で新たな個人データの取扱いが計画される度、それを適時に把握し、リスクを評価して、必要な対応を判断する機能が求められる。欧米ではプライバシー・バイ・デザインの概念が広く提唱されており、日本企業においても、今後このような内部統制の業務への組み込みがますます期待される。
本人から自らのデータの削除や使用停止を求められた場合、企業はこれに応じなければならないと定める規制も多い。取得したデータを複製し、多数の部署で利用しているような場合には、オリジナルデータがどのように複製され、どこでどのように利用されているのか、データのつながりを把握する仕組み（データリネージュ）が求められるだろう。

最近では、海外企業であっても自国法令の適用を宣言する「域外適用」の例も増えている。データ漏えい事故が起きた場合に、現地当局へ報告を求められるケースもある。企業では、どのシステムで、どの国の個人データがどの程度扱われているのかをタイムリーに把握できるような管理が求められる。データを自国内に保存するよう求める規制も存在するため、グループ企業内のどこにデータを保持し、どのような手段で共有することが有利かといった検討も必要となる。
各国規制で企業の説明責任がますます強く求められる一方、企業のデータ利活用は急激に拡大し、競争優位を決する重要な要素となっている。デジタル社会のビジネスを勝ち抜いていくために、従来のデータ管理の仕組みを見直すことが必要となっている。

日刊工業新聞 2019年7月23日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
パートナー　大洞 健治郎