個人情報保護法の改正で押さえるべき4つのポイント（ガートナー）

ガートナーは、個人情報保護法の改正を機に、IT／セキュリティ・リーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表した。

製品・サービス・業界動向業界動向

2020.6.23 Tue 8:05

ガートナージャパン株式会社（ガートナー）は6月19日、個人情報保護法の改正を機に、IT／セキュリティ・リーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表した。企業は今回の個人情報保護法改正のポイントや世界的な法規制のトレンドを把握し、セキュリティとプライバシーの観点から必要なアクションを速やかに推進すべきとしている。

4つのポイントは、「個人の権利の在り方」「事業者の守るべき責務の在り方」「データ利活用に関する施策の在り方」「ペナルティの在り方」。「個人の権利の在り方」では、個人の権利がより尊重され、その幅も拡大される。これは、プライバシーを基本的人権として位置付け「Subject Right (主体の権利)」を重視するEU一般データ保護規則 (GDPR)の考え方に近づく形となっている。企業は個人のプライバシーをより尊重・重視する姿勢が重要になるとしている。

「事業者の守るべき責務の在り方」では、個人情報の漏えい時には、個人情報委員会への報告および本人への通知が義務化される。これもGDPRに近づく動きとなる。セキュリティ・リーダーは、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握し、万一の漏えい等を想定したインシデント対応プロセスが機能するかを早期に点検すべきとしている。

「データ利活用に関する施策の在り方」では、Cookieなどの個人関連情報を第三者が個人データとして (つまり個人を識別できるデータとして) 取得することが想定されるときは、本人の同意が得られていることの確認が企業に義務付けられる。また仮名加工情報が新設される。これはデータの利活用が促進される反面、個人情報保護委員会から公表される情報を踏まえ、それに従う必要があるとしている。

「ペナルティの在り方」では、個人情報保護委員会からの命令への違反、同委員会に対する虚偽報告等についての法定刑が引き上げられる。GDPRほどの高額な制裁金には及ばないものの、制裁が行われたときの顧客の信用の失墜や、顧客離れによるビジネスへの負の影響は甚大なものとなる。儲けや利便性のためだけに個人情報を利己的に使い回す企業は、顧客からも社会からも受け入れられなくなるとしている。

《ScanNetSecurity》