Global Reachグローバル展開する企業を支援

MENU

コラム|Column

個人情報保護体制構築の戦略立案と各社に共通する問題

情報収集を行った後、実際に個人情報保護体制を構築するために、どのような行動を起こす必要があるのでしょうか? 具体的なステップは、図1に例示しました。

図1:個人情報保護体制を構築するためのステップ

図1:個人情報保護体制を構築するためのステップ

その過程で特に問題となりやすいのは、個人情報の取り扱いに関するポリシーの策定です。多くの会社に共通する問題として以下の8つを取り上げました。

(1)グローバルなデータベースの管理
社内の人事データ、顧客データ、ベンダーのデータといった大量に保管されている各種データを、どこの国で管理するかは、戦略上、非常に重要なポイントです。各国で収集されたデータを一括管理のために一つの国に送る場合、国境を越えた個人情報の移転に関する規制の問題が生じます。

個人情報の移転について最近注目されているのがオーストラリアです。オーストラリアでは2014年に個人情報保護法が改正されました。データの国外移転は、原則としてオーストラリア国内における個人情報保護法と同様、あるいは同レベルの保護を課している国に限るというもので、EUの域外移転規制に近い内容です。法律による担保があることと、社内あるいは提供先の制度として同レベルの保護がされていれば、国外移転を可能とする法律です。ところが、これが運用上かなり厳密に考えられていることがわかり、実際に個人情報の国外移転ができるケースが非常に限られてきます。それこそ「オーストラリア国内でないと個人情報移転できない」と主張する人もいるぐらいです。一方、最近のアジアの法制度では、個人情報の国外への移転に際して、同意を要求する、あるいは同等の保護がとられていることを要求することが多くなっています。ただ、アジアの国では法律ができて間もないので、一体どのくらいの厳しさで法律が執行されているかをつかむのが困難です。国境を越えた個人情報の移転はどの国でどんな問題に発展するのか分からない点で慎重に対処する必要があります。

(2)セキュリティの確保
ID情報の管理、ウェブサイトのセキュリティについては、技術的な問題に加え、実際に漏洩が起きたときの取り扱いをどうするかという問題まで含まれます。漏洩が分かったとき、監督官庁への報告等をどのような手順で行うか検討し、対応の手順を確立しておくべきです。

(3)委託先との関係
個人情報の処理に関する業務を第三者に委託する場合は、個人情報の取り扱いに関する契約条項を必ず挿入します。多くの国の法律では、委託先から漏洩した場合でも、委託者がなお責任を有するとされているからです。データの使用・開示に関する制限、データ保護についての義務などを統一的にし、必ず契約条項に含めるといったルールを作っておきます。また、委託先の選定にあたっての基準や監督基準などについてもルールが必要です。

(4)ダイレクト・マーケティング
電話勧誘、メールでのマーケティング、ダイレクト・メールなどを送る際、各国で個人情報保護のために規制が導入されています。各国の法制を確認し、遵守が可能なシステム(たとえば、マーケティングメールの受領を拒否された場合に、以後マーケティングの連絡が該当消費者に送られないことを確実にするシステム)の導入が必要になります。

(5)ウェブサイト、インターネット・アプリケーション
多くのウェブサイトではユーザーのトラッキング機能を備えています。それが情報を取得する重要な手段にもなっています。しかし、その技術の導入が禁止または規制されている国や地域もあり、規制の範囲を確認し適切に対応しなければなりません。

(6)従業員のモニタリング
業務の管理や従業員による不正防止などの目的で、従業員のPCや電子機器の使用などをモニタリングしているケースも少なくありません。その場合、各国における規制がないか、またプライバシー権に対する配慮がなされているかを確認しましょう。国によって多少の違いはあるものの、一般的にモニタリングに対して何らかの規制が置かれている国は個人情報保護法の観点でみると少ないです。一方で労働法という観点から、労働条件として、モニタリングがセンシティブ情報の領域に入ってくると規制がかかることが多いと言えます。従業員の行動を朝から晩まで監視するような体制は、その人の生活そのものと捉えられ、センシティブ情報とみられます。

(7)業界に特化した規制
一般的な個人情報保護に関する規制以外にも、特に金融業などでは、業種に応じた規制が実際には重要な意味を持つ場合もあります。米国では業界ごとに特化した法律が存在するので、規制に抵触しないか確認しておく必要があります。

(8)定期的な知識のアップデート
各国、あるいは各業種における最新の法制についてキャッチアップすることは、実際には難しい場合もあります。達野氏も情報収集は困難に感じることが多いと話します。「特にグローバルな視点を持つということが難しい。日本の情報がまとまっているところはあるし、例えば米国の法制度の編成を認知している人もたくさんいるとは思います。しかしそれを有機的に関連付けて、グローバルな視点で法制度として整理するとなると非常に困難といわざるを得ません。やはり、信頼できる人からの情報を集約しておくということが重要です。」

達野 大輔 氏

ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問

98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。