各国のプライバシー保護規制への対応は効率的な情報収集がカギにPR 世界で広がる個人情報保護の潮流に日本企業はどう適応すべきか

IT・情報セキュリティ

目次

  1. 各国で異なるデータ保護規則の現状
  2. 各国現地の弁護士と連携し、ネットワークサービス事業者としての知見を活かしたサービスを提供
  3. 日本企業の課題は、いかに効率的な情報収集を行うか
  4. コンテンツ拡充や比較一覧表の提供により日本企業のリスク低減に一層貢献

EU域内の個人データ保護を規定する法として「一般データ保護規則(GDPR)」が2018年5月25日に施行された。EUのこうした動きに追随する形で、世界各国・地域で個人情報を保護するための法整備が進められている。国や地域によって方針が異なり、ルールが不統一な部分も多いなか、日本企業はどう対応していけばよいだろうか。株式会社インターネットイニシアティブ(以下、IIJ)ビジネスリスクコンサルティング本部のプリンシパルコンサルタントである小川 晋平本部長と宮岡 泰治氏に聞いた。

各国で異なるデータ保護規則の現状

GDPRの施行をきっかけに、プライバシー保護規制が諸外国へ拡大しています。まずは、各国・地域の法令の特徴について教えてください。

小川氏
大きく分けて3つのタイプがあります。1つめは、EUタイプ。GDPRに代表される、個人のプライバシー保護を主な目的としたものです。2020年2月に施行予定のブラジルの個人情報保護法もEUタイプに該当します。

2つめは、中国の「網絡安全法」、ロシアの「連邦法」、そしてベトナムの「サイバーセキュリティ法」のような国益追求タイプです。個人のプライバシー保護が目的ではなく、個人データは重要な国家の資産であるという考え方のもと、国による個人情報の管理に重きを置いたものです。

3つめは、データの利活用を活性化させていく方針をとるUSタイプです。日本もUSタイプに近いと言えるでしょう。米国に関しては今のところ「個人情報保護法」にあたるような連邦法はなく、州ごとに規則がバラバラな状態です。プライバシー保護に関しては、EUなどに比べると罰則も厳しくありません。一方で、2020年7月に施行予定の「カリフォルニア州消費者プライバシー法(CCPA)」では制裁金は青天井となっているなど、近年ではデータの利活用に傾き過ぎた現状を是正しようとする動きが出てきています。

世界のプライバシー保護規制は3つのタイプに大別される

世界のプライバシー保護規制は3つのタイプに大別される

2019年1月には、フランスのデータ保護監督機関であるCNILが、Googleに対して約62億円という巨額な制裁金を課しました。Googleがデータ収集に関する情報について、利用者が簡単にアクセスできる状態にしておらず、情報透明性に関する義務を果たしていなかったこと、およびパーソナライズされた広告に対する有効なユーザー同意を得ていない状態であったことが問題視された形ですが、この件に関して注目すべきポイントはありますか。

小川氏
今回GoogleのEU統括拠点があるアイルランドの監督機関ではなく、フランスの監督機関であるCNILによって制裁が課されていることを重視しています。

GDPRでは、複数のEU加盟国内に拠点を持つ管理者/処理者に対応する監督当局を一つに集中させる「ワンストップ・ショップ制度」を規定しており、個人データの処理に関してその目的と手段の決定者がいる拠点の監督当局を主任監督機関としてみなしますが、Googleの場合は米国で意思決定をしており、管理者はEU域外にあります。今回の件で、管理者がEU域外にある場合、ワンストップ・ショップ制度が適用されないことが示された形となりました。

したがって、日本企業もGoogleと同様に、たとえ欧州統括拠点があったとしても、データ処理の目的と手段を決定しているのが日本本社であることが明確である場合、EU加盟国すべてから訴えられてしまう可能性があるということです。これは抑えておきたい点です。

EUではGDPRを補完するものとして、「eプライバシー規則(e-privacy regulation)」が近々施行される予定です。

小川氏
eプライバシー規則のうち、日本企業に一番影響があると思われるのはCookieに関する規制です。eプライバシー規則においては、広告主がサイト訪問者のCookieを使用する前に明示的な同意を得る必要があります。リターゲティング広告を提供するベンダーや、リターゲティング広告を掲載する媒体などにとっては大きな問題となるでしょう。なぜなら、同意を得ることができるのは、同意を取るための画面を表示できる、媒体側のみだからです。媒体側がアドテク企業の代わりにCookie利用の同意を得る必要があるということです。eプライバシー規則に対応するには、こうした仕掛けを実装する必要があります。

株式会社インターネットイニシアティブ(IIJ) ビジネスリスクコンサルティング本部 プリンシパルコンサルタント 小川 晋平本部長

株式会社インターネットイニシアティブ(IIJ) ビジネスリスクコンサルティング本部 プリンシパルコンサルタント 小川 晋平本部長

中国では、中国国内企業に対して取り締まりが強化されている状況です。

宮岡氏
現在は沿岸部のB2B企業を中心に、約1,300件の中国国内企業に対して取り締まりが行われています。法律またはガイドラインに明記されていない曖昧な部分も多く、グレーな状況のなかで何をどこまでやったらいいのかわからないというお客様からの声を聞きます。

小川氏
中国サイバーセキュリティ法の関連規定のうち、外資企業の規制に向けた、「個人情報および重要情報越境安全性評価弁法」についてはパブリックコメントを締め切った段階で、いつ正式版が施行されてもおかしくない状態になっています。現在中国でビジネスを行っている日本企業は軒並み対応を始めているところです。

株式会社インターネットイニシアティブ(IIJ) ビジネスリスクコンサルティング本部 プリンシパルコンサルタント 宮岡 泰治氏

株式会社インターネットイニシアティブ(IIJ) ビジネスリスクコンサルティング本部 プリンシパルコンサルタント 宮岡 泰治氏

各国現地の弁護士と連携し、ネットワークサービス事業者としての知見を活かしたサービスを提供

こうした世界各国のプライバシー保護規制に対して、IIJではどのようなソリューションを提供されていますか。

宮岡氏
各国の法規制に対して、初期調査、分析・評価、対策立案、対策実施と時系列順にソリューションをご用意しています。また運用面のサポートもしていますので、初期対応から運用まで、また、平時からインシデント発生時まですべてカバーできるサービスメニューを持っているということになります。法律要件に合わせたIT対策を行えることは、コンサルティング会社にはない強みであると考えています。

法律要件に関する情報はどのように入手し、ソリューションへ落とし込んでいるのでしょうか。

小川氏
IIJはクラウドやインターネットサービスを世界各地で提供しているので、各国の規定に対する知識やノウハウがあります。また各国現地の弁護士の方と連携することで、正しい現状把握と情報収集をサポートしています。法律の解釈そのものはもちろん、従業員へのアナウンスのタイミングや教育資料、社内規定の変更点、取引先へのアナウンスなど、実務的な対応のノウハウを持っていることは強みですね。

また、IIJグループは、拘束的企業準則(Binding Corporate Rules:BCR)の承認をまもなく取得できる予定です。BCRの申請から2年半のあいだ監督機関とやり取りをした中で得た知見やノウハウも活かしていくことができます。

IIJが提供するソリューションイメージ図

IIJが提供するソリューションイメージ図

日本企業の課題は、いかに効率的な情報収集を行うか

各国がそれぞれプライバシー保護規制の整備を進めているなか、対応すべきポイントは規制ごとに少しずつ異なってくると思います。こうした状況に対して、日本企業はどういった課題を抱えていますか。

小川氏
動きがあまりにもグローバルかつ多様で、みなさん情報収集に苦しんでいます。各企業の人的リソースも限られていますので、自社だけで情報収集を行うには限界があります。

いかに効率的な情報収集を行うかという課題に対し、「IIJビジネスリスクマネジメントポータル(以下、ビズリス)」では、世界のプライバシー保護法制およびIT対応に関する情報や機能を提供されていますね。

小川氏
はい。ビズリスは、IIJ自身がGDPR対応するために、2,000ページほどあるガイドラインすべてに目を通したことをきっかけに立ち上げたサイトです。ガイドラインを読んで得た知見は少なくともヨーロッパに拠点がある会社にとっては共通の知識になるため、日本語でノウハウも含めてわかりやすく提供すれば、みなさまのお役に立てるのではないかと考えました。

宮岡氏
各国のプライバシー保護法制に関連するニュースやFAQ、GDPR対応の入り口となる資料、リスク評価ができるテンプレートなど、さまざまな情報やツールを提供することで、プライバシー保護に関する世界の最新の動向がわかるようなサイトを目指して運営しています。

IIJが運営する「IIJビジネスリスクマネジメントポータル」

IIJが運営する「IIJビジネスリスクマネジメントポータル」

コンテンツ拡充や比較一覧表の提供により日本企業のリスク低減に一層貢献

2019年4月1日には大幅リニューアルをされました。

宮岡氏
ビズリスの会員が1,000社を突破したことを記念し、アドバンスト会員向けのコンテンツと機能を強化して、リニューアルオープンしました。5月6日23:59までにアドバンスト会員に新規お申し込みいただいた方は、各50万円相当の中国サイバーセキュリティ法初期アセスメント・テンプレートと、CCPA対応テンプレートをダウンロードできるキャンペーンも行っています。また、5月21日に東京で開催予定のシンポジウム「GDPR執行の最前線とプライバシー保護法制を取り巻く世界情勢」へも無料でご招待します。

コンテンツのリニューアルにあたっては、お客様へ事前に「どの国の法規制に関する情報が必要か」というアンケート調査を行いました。アンケートで注目度の高かった国は、中国、ベトナム、アメリカ、シンガポール、タイなどでした。こうしたお客様からの関心が高い各国の法規制に対して、抜粋版、概要版、詳細版とレベル分けしたコンテンツを掲載していきます。特に概要版では、国ごとの法規制の厳しさをマッピングしてお伝えする予定です。さらに、各国の法規制について、重要な項目を横断的に比較できる一覧表をつくろうとも考えています。

小川氏
「IIJビジネスリスクアドバイザリーサービス」という時間チャージのコンサルティングサービスもビズリスに統合し、ビズリスの画面上でチャット機能を使って質問することができるようになります。メールでのやり取りでは、担当者の方が異動、退職してしまったりすると社内にノウハウが残っていきません。この機能を使えば、データや質問の履歴が残るので、ノウハウや知見を社内にきちんと蓄積していくことができます。

今後ビズリスはどのように展開されていくお考えですか。

宮岡氏
プライバシー保護規制への対応は、法務部門とIT部門の連携が求められます。ビズリスでは、法務部門からIT部門への橋渡しとなるような基本情報も掲載していければと思っています。

小川氏
できるだけ多くの企業様に各国のプライバシー保護規制へ対応していただき、日本企業の個人情報に関わるリスクを減らしていきたいと思っています。今後は、中小企業に向けたツールも拡充していきたいと考えていますね。中小企業のほとんどは、危ないと思いつつも何も対策できていない状況です。我々のノウハウをテンプレートやマニュアルに落とし込むことによって、中小企業の方々でも自社で簡単に対応できるようにしていきたいですね。

最後に、プライバシー保護規制への対応に悩まれている読者の方へメッセージをお願いします。

小川氏
自分1人で調べるには限界があるので、ナレッジはなるべく共有するほうがよいと考えています。特にプライバシー保護規制に関しては動きが激しく、制裁リスクも高いです。ぜひビスリスを情報収集するためのツールとしてうまく使っていただけたらと思います。

株式会社インターネットイニシアティブ
本社所在地:東京都千代田区富士見2-10-2
設立:1992年12月3日
資本金:22,979百万円
売上高:1,760.5億円
代表者:代表取締役社長 勝 栄二郎
従業員数:連結 3,346名

  • IIJビジネスリスクマネジメントポータル


(構成:BUSINESS LAWYERS編集部)

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する