「データ保護規制の最前線」第3回目。
欧米諸国での個人データ保護関連の動向を踏まえ、企業実務に及ぶ影響やリスク対策について解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
個人情報保護を巡る欧米の動向
欧州連合(EU)一般データ保護規則(GDPR)が施行されて約3年、米カリフォルニア州消費者プライバシー法(CCPA)が正式に施行して約1年が経過した。(執筆当時:2021年)。
各監督当局による通告や指導、制裁金などの執行の傾向から、企業に求められる実務を解説する。
5月までの欧州各国当局の執行件数の推移を見ると、国によってばらつきはあるものの、おおむね増加傾向にある。執行件数で最も多いのはドイツで、オランダ、アイルランドが続く。
最多で制裁金を科したのもドイツ(606件)で、GDPR違反で高額の制裁金が科された事例も少なくない。
一方、米カリフォルニア州司法長官事務所によると、これまでCCPAに基づく制裁金を科した例はないものの、プライバシーポリシーの更新や消費者の権利行使対応の拡充、個人情報の販売に関する差し止め対応の見直しなどが是正命令として下されている。
これら欧米当局による執行は、消費者からの苦情や訴えに端を発するものが多く、消費者が個人情報を利用されることに不安や抵抗感を覚えていることは想像に難くない。
こうした状況を鑑み、企業が取り組むべきは消費者の不安を和らげ、消費者の権利を最大限尊重する姿勢を示すことである。
たとえば、ホームページやアプリからワンクリックで個人情報管理の全体像を示すページにアクセスでき、イラストなどを用いた視覚効果の高いプライバシーポリシーを公開することが考えられる。さらに広告配信や位置情報の送信、外部への情報提供などを個別に承認・拒否できるダッシュボードのような環境を準備し、消費者自らが細かくカスタマイズ(個別対応)できる仕組みを整えるのも有効である。
当局の権限強化や厳格な消費者の権利保護を主眼とした法規制の改訂は今後も続く見込みだ。カリフォルニア州は2023年1月にプライバシー権法の施行を予定している。企業は消費者が不安に思うような情報の取り扱いを再点検し、より透明性を高めるための情報開示や本人による権利行使手段の拡充など、消費者に寄り添う姿勢を鮮明に打ち出すことが重要である。
執筆者
KPMGコンサルティング
シニアマネジャー 戸田 憲次郎
日刊工業新聞 2021年10月22日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
