計画を現実のものへ
戦略を立てたら、具体的なスケジュールを作成し実行に移しましょう。目標が達成できたか継続的にチェックすることも忘れずに。個人情報保護体制の構築でよくあるのは、欧米子会社が主導権を握ってしまうケースです。例えばEUの規制に関する情報を得ることが、言語のうえでも容易な立場にある海外の法務担当者が、様々な意見を主張することもあります。しかし本来、個人情報保護体制は、全社を統括する親会社が責任を持って確立するものです。子会社に対して親会社は、コンプライアンスを監視する立場です。親会社が個人情報保護体制の手綱をしっかり握って、各国の子会社を監視できるような体制を作り上げなければなりません。
「そのためには、情報収集という所から体制を構築していかないといけないことを、実際のクライアントとのやりとりから実感しています」と達野氏。「大手の企業であっても、海外子会社における政府への届出の要否等を実は把握していなかったということもあります。これまで海外子会社のどの担当者がどういうことをやってきて、どういうプライバシーポリシーを作っているかを社内で集約するレポーティングラインをきちんと作る必要がある、ということをひしひしと感じています」。はたして社内で個人情報という軸で情報の集約、レポーティング、統一的な管理がなされているでしょうか? 「文化の違いが多少あっても、大きな流れとして世界的に統一されていく方向にあり、どこの国でも、勘所はここだと分かるようになりつつあります。こういう知識の集約も重要です」。
個人情報保護体制を構築するにあたり、達野氏は意識とリソースの問題を提起しています。まず意識の問題について、企業として個人情報保護の問題をどのぐらいのレベルで捉えているか——。「個人情報保護というと一般消費者を相手にすると思われがちですが、実際には一般消費者に限らず取引先の人の情報も含まれます。一般消費者への直販はしていない企業でも、こういった全世界的な保護方針の策定の相談にいらっしゃるケースがあります。業界というよりは、その会社が個人情報保護法を守れなかったときのリスクを考えているかという意識の違いです」。また、大きな企業でも法務部の人材は限られています。このようなリソースの問題について「他の法律の問題に手一杯で、なかなか個人情報までは手が伸びないという企業が多くあります。法務部の担当者がリスクを認識していても、その上層部に相談しに行ったとしても、予算をつけてプロジェクト化するGOサインが出るまでが、非常に大きなハードルになっています」と指摘しています。
(第二回に続く)
- 第1回 グローバルの個人情報保護体制構築ことはじめ
- 第2回 世界的に個人情報移転を可能にする方法
- 第3回 AECで変わるアジア:個人情報保護法動向の変化
- 最終回 世界における個人情報の適切な取得
達野 大輔 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問
98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。